惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
TaoSecurity Blog
TaoSecurity Blog
T
Threat Research - Cisco Blogs
Cisco Talos Blog
Cisco Talos Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
T
Tenable Blog
C
Cybersecurity and Infrastructure Security Agency CISA
GbyAI
GbyAI
Microsoft Security Blog
Microsoft Security Blog
N
Netflix TechBlog - Medium
AWS News Blog
AWS News Blog
Security Latest
Security Latest
L
LINUX DO - 热门话题
Blog — PlanetScale
Blog — PlanetScale
T
Threatpost
Stack Overflow Blog
Stack Overflow Blog
Vercel News
Vercel News
S
Securelist
I
Intezer
D
Darknet – Hacking Tools, Hacker News & Cyber Security
H
Heimdal Security Blog
T
The Exploit Database - CXSecurity.com
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
The Hacker News
The Hacker News
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
H
Hackread – Cybersecurity News, Data Breaches, AI and More
U
Unit 42
The Register - Security
The Register - Security
NISL@THU
NISL@THU
S
Schneier on Security
M
MIT News - Artificial intelligence
The Last Watchdog
The Last Watchdog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Hugging Face - Blog
Hugging Face - Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Hacker News - Newest:
Hacker News - Newest: "LLM"
Y
Y Combinator Blog
Know Your Adversary
Know Your Adversary
罗磊的独立博客
MongoDB | Blog
MongoDB | Blog
美团技术团队
W
WeLiveSecurity
P
Privacy International News Feed
Forbes - Security
Forbes - Security
H
Hacker News: Front Page
小众软件
小众软件
博客园 - 【当耐特】
P
Proofpoint News Feed
P
Privacy & Cybersecurity Law Blog
T
Tor Project blog

V2EX

我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 上海漕河泾内推,本组有 2 个 hc,一个后端,一个前端,预算都是 20k 左右,不打卡,氛围好 如果 V2EX 上有一组不永久保存聊天记录(比如只保存 7 天或者 24 小时)的聊天室,那么会开启哪些有用或者有趣的可能? - V2EX gemini cli 貌似挂了,一直返回 403 - V2EX 第一次在自媒体上赚到钱 收集了最近在使用的低价 GPT, Gemini,邮箱等 AI 会员的小店合集 讨论个大实话:现在企业还在说 AI 编程提效 20%, 30%的,真的太落后,没用懂 AI。因为包括很多前沿公司,已经狂奔到提效 200%-500%的情况 [招聘][远程][币安] 前端/后端/QA/iOS/Android 至少 3 年以上经验 目前有大量 HC 欢迎投递 Chatgpt Pro 用量用不完的可以开这些设置 面试的时候好像遇到钓鱼了,给各位避个坑 cursor 年续费 22 号到期, 自动续费是否还是老的计次套餐呢 - V2EX 被两件破事毁掉的一下午,琐碎的内耗消磨人的精力 使用 Planet 存储 Codex 的会话或者重要信息 - V2EX 如果业务部门领导不要你开发功能,而是要求你教会它用 claude code 开发功能,你会怎么做? 分享一个 MacOS 接绿联 CM818 USB 转 DP 转接器使用感受 - V2EX 我的 HR 朋友 10 年老 Java ,非全大专,大家帮忙看看简历 开源了一个 AI 口语练习工具,音素级发音评分,完全免费可自部署 V2EX 上有哪些你觉得很有趣、印象深刻的妹纸? 字节为啥不出个国内版 Vercel? 有在大马的朋友吗? 问个运营商问题 你们在有领导的公司大群发过的最大胆的消息是什么 公司裁员,目前没有工作。想试试摆摊,做一个移动鲜啤打酒车 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX 只有我一个人觉得 codex 不好用? 做了个 AI + 真人专家监督的广告投放平台 Auxora, 7 个品牌跑出 6x ROAS 如何走出至亲的离世 Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX 用回测筛选因子的一点经验分享 给女儿 vibe 了一个故事类的 app,做完发现,这类应用似乎上线难度极大? - V2EX 手机格式化 bitget 钱包没了,里面开通的银行卡还有机会拿到吗 - V2EX [送码] TransVoice - 我的第一款 App 上架啦!实时转写+翻译+字幕,会议听课好助手! PictureHub 高清摄影作品的画廊 Planet 的第一个使用 macOS 26 SDK 构建的 Insider 版本 20260416-1 - V2EX 成都二手房是不是在涨价,有点坐不住了 - V2EX claude 生态(skill mcp plugin)等 Studio Display XDR VESA 适配器脱落 有在用印度区 applestore 的大哥嘛,请教一下礼品卡去哪里买呢 - V2EX 我好像知道京东家政爆火的原因了 - V2EX 薅了公司的 a 家 api key,用机场 ip 做代理容易被封吗 如何在初期就识别 HR 在刷 KPI,没打算招你? [分享]精心打造一个 AI 编程知识库(算法/设计模式/提示词/Skills),助力程序员转型 港版 iPhone 在国内支持联通 5GA 吗?在广东用 想办港卡 AI 对 it 行业影响太大了 我做了个把照片变成 iOS 小组件贴纸的 App ChatGPT Pro 5x 套餐 量真的很足! I have found a method to directly generate advertising video materials using scripts 在小城市开个店,给人写软件,有前途吗 chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 外资非核心部门 vs 另一家外资的核心部门,该跳吗? iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX V2EX › 登录 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了
用于密码管理和 TOTP 验证的 Python 库 - V2EX
yuanyuan11 · 2026-06-20 · via V2EX

之前一直用谷歌验证器和 1Password ,但总感觉太重了,而且总会依赖别人的服务,后来想了想,我的需求其实很简单,最主要就是两步验证 2FA ,没必要搞那么复杂,之前使用 Python 简单写了几个脚本来实现,最近用上了 agent ,想着重构一下做成 pip 包更方便。

所以就写了 jkey ,一个纯 Python 的密码管理工具,就用我的名字开头字母命名吧,简短一些。AES-256-CBC 加密,所有数据存在本地 ~/.config/jkey/,除了扫二维码需要 opencv ,其他全是纯 Python ,零外部依赖。

项目地址: https://github.com/imjiaoyuan/jkey

直接使用 uv 安装:

uv tool install jkey

首先需要初始化并设置主密码:

jkey pv init

2FA 模块

管理 TOTP 两步验证账号。标准 RFC 6238 实现,和谷歌验证器完全兼容,迁移过来的时候直接扫原来的二维码图片就行。

查看账号和当前验证码:

# 列出所有账号
jkey 2fa ls

# 关键词过滤
jkey 2fa ls github

# 支持大小写不敏感匹配
jkey 2fa ls GMAIL

从二维码图片导入账号:

jkey 2fa add ./github.jpg

底层调用 opencv 的 QRCodeDetector 识别二维码,会自动解析 otpauth:// URI 格式。同时会把原始二维码图片加密备份到 ~/.config/jkey/qr/ 目录下。太大的图片会自动缩放到 1000 像素以内再识别。

删除账号,会同步清理关联的恢复码和二维码备份:

jkey 2fa rm [email protected]

RC 模块

很多网站的 2FA 验证都会有恢复码作为 2FA 验证失效时的备用验证方案,通常是 txt 文件,所以也需要这个模块。导入时会自动将文件内容解析为恢复码列表,以文件名作为标识。

从文件导入恢复码:

jkey rc add ./github-recovery.txt

列出已导入的恢复码:

jkey rc ls

# 按账号过滤
jkey rc ls github

删除某个账号的恢复码:

jkey rc rm github

PM 模块

密码管理,包括随机密码生成和密码存储。这个功能其实只是为了补全作为一个密码管理软件所必须的功能吧,可能没多少人会用到,我的密码也都是存在谷歌账号的,手机和 chrome 同步的。

生成随机密码使用 Python 的 secrets 模块( CSPRNG ):

# 默认 16 位,包含大小写字母、数字和符号
jkey pm get

# 生成 32 位密码
jkey pm get -L 32

# 只要字母和数字
jkey pm get -L 20 --no-symbols

# 只要小写字母和数字
jkey pm get -L 20 --no-upper --no-symbols

每个字符集至少保证一个字符,所以不会出现生成了 32 位密码结果全是小写字母的情况。

存储和查看密码:

# 存储密码,交互式输入
jkey pm add github

# 列出所有存储的密码
jkey pm ls

# 按关键词过滤
jkey pm ls github

# 删除密码
jkey pm rm github

密码以明文形式打印到终端,设计上倾向于简单直接,既然你问密码就是要用,那就不搞掩码这种多余的操作了。

PV 模块

jkey 将所有数据存放在保险库中,开始使用 jkey 的时候需要初始化创建一个保险库并且设置主密码:

jkey pv init

会要求输入并确认主密码,然后创建加密数据文件。主密码也可以通过环境变量传入,适合在脚本里用:

export JKEY_PASS=your-master-password
jkey pv init

加解锁操作:

# 解锁保险库
jkey pv unlock

# 锁定保险库
jkey pv lock

解锁后的密码会缓存在 .session 文件里(权限 600 ),5 分钟内跨进程不用重复输入密码,和 sudo 的一样。缓存文件是明文存的,如果你介意这个可以删掉,每次手动解锁就行。

修改主密码:

jkey pv set-pw

用主密码加密文件:

# 加密文件,输出为原文件名 + .jkey
jkey pv encrypt secret.pdf

# 指定输出路径
jkey pv encrypt secret.pdf -o backup.pdf.jkey

解密.jkey文件:

jkey pv decrypt secret.pdf.jkey -o secret.pdf

底层加密用的是 AES-256-CBC + HMAC-SHA256 ,文件会先 base64 编码再加密,适合各种二进制文件。

数据导出,export 命令需要二次确认主密码:

# 导出 2FA 密钥为 JSON
jkey pv export totp -o totp.json

# 导出密码为 CSV
jkey pv export passwords -o passwords.csv

# 导出恢复码为文本文件
jkey pv export recovery -o recovery.txt

# 导出二维码图片到目录
jkey pv export qr -o ./qr_images

# 导出全部数据
jkey pv export all -o ./backup

如果不指定 -o,TOTP 和密码数据会直接打印到终端。

目录结构

数据文件统一放在 ~/.config/jkey/,每种数据类型各一个文件,独立加密:

~/.config/jkey/
├── .session          # 会话缓存( 5 分钟超时)
├── totp.jkey         # 加密的 TOTP secrets
├── passwords.jkey    # 加密的密码
├── recovery.jkey     # 加密的恢复码
└── qr/               # 加密的二维码图片
    └── <account>.jkey

加密用的是 AES-256-CBC + HMAC-SHA256 。v3 格式把加密密钥和认证密钥分开了,用 PBKDF2-HMAC-SHA256 派生,迭代 60 万次。AES 是我自己用纯 Python 手写的,S 盒、密钥扩展、列混合全部手动实现,没调 OpenSSL 。性能比不上 C 实现,但密码管理这种低频操作完全够用。

实现细节

这个项目有个小坑,因为我希望命令尽量短,这样用起来更方便,所以核心的 2FA 模块名以数字开头。项目里有个 2fa/ 目录,Python 的 import 语法不允许 from jkey.2fa.rm import remove_account,因为 2fa 以数字开头,不是合法的标识符。解决方案是用 importlib.import_module('jkey.2fa.rm') 动态导入。

还有就是密码明文输出的设计取舍。一开始想过加 --mask 参数来掩码显示,但后来觉得这和密码管理器的使用场景不符,你查密码就是为了复制粘贴,掩码了还要多操作一步。所以就保持简单了。

不足

纯 Python AES 速度慢是硬伤。加解密大文件的时候能感觉到明显延迟,所以只适合小文件。如果你需要加密几百 MB 的文件,用 openssl 命令行更靠谱。

另外 opencv 依赖虽然只有一个,但 opencv-python-headless 体积不小(大概 30MB ),就为了扫个二维码。以后可以考虑用 pyzbar 或者纯 Python 的二维码识别方案替换掉它。

有很多场景的并没有测试,我仅仅在 ArchLinux 上进行了测试,Windows 还没有兼容,后续会补上,希望有用的朋友多提提建议。