https://nosae.top/tags/totp/ Recent content in TOTP on NOSAE https://nosae.top/images/papermod-cover.png https://nosae.top/images/papermod-cover.png Hugo -- 0.147.2 zh NOSAE Fri, 12 Jun 2026 23:48:07 +0800 https://nosae.top/posts/%E4%B8%8D%E9%9C%80%E8%A6%81%E8%81%94%E7%BD%91%E7%9A%84%E9%AA%8C%E8%AF%81%E7%A0%81/ Fri, 12 Jun 2026 23:48:07 +0800 https://nosae.top/posts/%E4%B8%8D%E9%9C%80%E8%A6%81%E8%81%94%E7%BD%91%E7%9A%84%E9%AA%8C%E8%AF%81%E7%A0%81/ <p>最近发现一直在用的 google authenticator 这个 app 似乎不用联网也可以生成验证码，而且这个验证码确实是能用来登录开了 2FA 的 github、chatgpt 等平台的。感觉很神奇，作为一个土生土长的拆尼斯，只知道手机短信验证码，今天闲下来研究下 google authenticator 的原理，感觉以后做项目需要登录验证身份甚至是发散到其它用途上，会是个很好的参考。</p> <p>离线验证的核心秘密就在于 TOTP（Time-based One-Time Password，基于时间的一次性密码算法） 。这个算法是 HOTP（HMAC-based One-Time Password，基于消息认证码的一次性密码算法）的时间变体，它用当前时间戳替换了 HOTP 中的计数器来生成动态密码。Google Authenticator、Authy、Microsoft Authenticator 这些常见的验证器 App，底层用的都是这套逻辑。</p> <h2 id="totp-原理">TOTP 原理</h2> <p>TOTP 的生成公式其实很简单：</p> <blockquote class="markdown-alert markdown-alert--"> <div class="markdown-alert__title"></div> <div class="markdown-alert__content"><p>TOTP = Truncate( HMAC-SHA-1(K, T) )</p></div> </blockquote><p>其中 K 是共享密钥，就是绑定 2FA 时扫的二维码里藏着的那串玩意，通常是一个随机的 16 位或 32 位字符串，用 Base32 编码。这串共享密钥是会被保存到服务提供商的服务器上的。T 则是时间步数，计算公式是：</p> <blockquote class="markdown-alert markdown-alert--"> <div class="markdown-alert__title"></div> <div class="markdown-alert__content"><p>T = (Current Unix Time − T0) / X</p></div> </blockquote><p>X 是时间步长，默认是 30 秒（当然也可以配置成 60 秒）。举个例子，如果当前 Unix 时间戳是 1734500000，除以 30，得到 T ≈ 57816666。这个 T 会随着时间单调递增，每 30 秒就会+1。</p>