HMAC Javascript函数与PHP有不同的结果

时间:2017-02-03 16:52:35

标签: php security encryption hash encoding

我有一个javascript函数可以创建基于时间的一次性密码(TOTP)。 现在我必须使用PHP在服务器上创建相同的TOTP。 我用PHP编写了与javascript函数相同的逻辑。 为方便起见,我创建了一个javascript小提琴和一个PHP小提琴。因此,您可以比较代码并查看输出。

Javascript版本:(小提琴:https://jsfiddle.net/rrfk4ey9/1/

var TOTP = function() {
    var dec2hex = function(s) {
        return (s < 15.5 ? "0" : "") + Math.round(s).toString(16);
    };
    var hex2dec = function(s) {
        return parseInt(s, 16);
    };
    var leftpad = function(s, l, p) {
        if(l + 1 >= s.length) {
            s = Array(l + 1 - s.length).join(p) + s;
        }
        return s;
    };
 
    this.getOTP = function(secret) {
        try {
            var epoch = Math.round(new Date().getTime() / 1000.0);
            
            // For testing, we take a fixed time. (same as in PHP version).
            var time = "0000000002f3e3c9";//leftpad(dec2hex(Math.floor(epoch / 30)), 16, "0");
            
            document.getElementById("key").innerHTML = secret;
            document.getElementById("time").innerHTML = time;
            
            var hmacObj = new jsSHA(time, "HEX");
            var hmac = hmacObj.getHMAC(secret, "TEXT", "SHA-1", "HEX");
            
            document.getElementById("hmac-out").innerHTML = hmac;
            
            var offset = hex2dec(hmac.substring(hmac.length - 1));
            var otp = (hex2dec(hmac.substr(offset * 2, 8)) & hex2dec("7fffffff")) + "";
            otp = (otp).substr(otp.length - 6, 6);
            
        } catch (error) {
	    alert("Error: " + error);
            throw error;
        }
        
        return otp;
    };
 
};
var totpObj = new TOTP();
  document.getElementById("result").innerHTML = totpObj.getOTP("someSecret");
output {
  font-family: monospace;
  white-space: pre;
}
#result {
  color: orange;
}
<script src="https://cdnjs.cloudflare.com/ajax/libs/jsSHA/1.6.0/sha.js"></script>
<body>
<aside>This snippet uses external library <b>jsSHA</b> version <b>1.6.0</b></aside>
<hr />
<output>
  <div>Key:  <b id="key"></b></div>
  <div>Time: <b id="time"></b></div>
  <div>HMAC: <b id="hmac-out"></b></div>
  <div>code: <b id="result"></b></div>
</output>

</body>

PHP版本:http://ideone.com/s0Bwqu

<?php
function leftPad($in, $len, $str) {

    return str_pad($in, $len, $str, STR_PAD_LEFT);
}

$key = "someSecret";

$epoch = time();
// For testing, we take a fixed time. (same as in JS version).
$time = "0000000002f3e3c9";//leftPad(dechex(floor($epoch / 30)), 16, "0");
echo "Key:     " . $key . "\n";
echo "Time:    " . $time . "\n";

$hmac = hash_hmac("sha1", $time, $key, false);
echo "HMAC:    " . $hmac . "\n";

$offset = hexdec(substr($hmac, strlen($hmac) - 1));
$otp = (hexdec(substr($hmac, $offset * 2, 8)) & hexdec("7fffffff")) . "";
$otp = substr($otp, strlen($otp) - 6, 6);

echo "Code:    " . $otp . "\n";

?>

这会产生:

Key:     someSecret
Time:    0000000002f3e3c9
HMAC:    5dcab54740bdca71e706c7e38a5c59fec3cb9c1a
Code:    094428

请注意,在两个版本(JS和PHP)中,timekey都是相同的。 HMAC不同,所以在我的理解中,这里开始出现问题。 javascript版本是我首先创建的版本,并且被证明可以正常工作。

我很确定问题是由jsSHA库的行为引起的。 所以我提出了一些看法:

  • jsSHA Library采用HEX格式的time。同样在PHP中,当放入hash_hmac函数时,时间为HEX格式。
  • secretkey)采用TEXT格式放入jsSHA中。还有PHP。

实际上,关键是在PHP中获得与javascript中的jsSHA库相同的结果。 我确定我错过了什么。我一直在努力,甚至谷歌都不知道答案。

1 个答案:

答案 0 :(得分:3)

您告诉jsSHA库输入是十六进制字符串:

var hmacObj = new jsSHA(time, "HEX");

但是你在hash_hmac()调用之前/之内没有做任何与PHP相同的事情。这意味着jsSHA获取原始二进制数据,而PHP的hash_hmac()获取文字字符串“0000000002f3e3c9”。
当然,这不会产生相同的结果。

hex2bin()应用于$time,然后再将其传递给hash_hmac()

相关问题
最新问题