惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

量子位
云风的 BLOG
云风的 BLOG
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
The Hacker News
The Hacker News
Martin Fowler
Martin Fowler
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
U
Unit 42
F
Full Disclosure
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Recorded Future
Recorded Future
Security Archives - TechRepublic
Security Archives - TechRepublic
阮一峰的网络日志
阮一峰的网络日志
T
Threatpost
P
Privacy International News Feed
GbyAI
GbyAI
Stack Overflow Blog
Stack Overflow Blog
MongoDB | Blog
MongoDB | Blog
I
Intezer
Recent Announcements
Recent Announcements
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Privacy & Cybersecurity Law Blog
A
Arctic Wolf
博客园 - 聂微东
博客园 - 叶小钗
Cisco Talos Blog
Cisco Talos Blog
H
Help Net Security
S
Schneier on Security
Y
Y Combinator Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
The Exploit Database - CXSecurity.com
T
Tor Project blog
月光博客
月光博客
NISL@THU
NISL@THU
A
About on SuperTechFans
Spread Privacy
Spread Privacy
Blog — PlanetScale
Blog — PlanetScale
D
DataBreaches.Net
雷峰网
雷峰网
C
CXSECURITY Database RSS Feed - CXSecurity.com
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
博客园 - 【当耐特】
G
Google Developers Blog
W
WeLiveSecurity
P
Palo Alto Networks Blog
The Last Watchdog
The Last Watchdog
K
Kaspersky official blog
博客园 - 司徒正美
L
LINUX DO - 热门话题
小众软件
小众软件

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
Node.js躬行记(32)——F2A实战
咖啡机(K.F.J) · 2026-04-30 · via 博客园_首页

  近期管理后台有不明人士在登录,查询后台日志只能查到一个IP,其他日志因为时间的原因,已经被清除。后台其实已经做了很多防护,可以避免不法分子攻击,例如账号密码加密传输、频繁登录会被封禁、密码错误3次也会被封禁等。但为了能让后台更加安全,遂试着加上了F2A校验。

  F2A(Two-Factor Authentication)其实是2FA的笔误,都表示双因素认证。它是一种安全验证机制,要求用户在登录时提供两种不同类型的证据(因素)来证明身份。

  在实际应用中,F2A/2FA 最常见的表现形式是:

  1. 密码 + 短信验证码:最普遍但安全性相对较低(易受 SIM 卡交换攻击)。
  2. 密码 + 基于时间的一次性密码( the Time-Based One-time Password ,TOTP):如 Google Authenticator、Microsoft Authenticator 等应用生成的 6-8 位动态数字。
  3. 密码 + 硬件密钥:如 YubiKey,安全性最高,能有效防御网络钓鱼。

  我们的后台将会采用第二种表现形式,后台服务端基于 Node.js 实现。核心实现原理是基于时间同步的一次性密码(TOTP,Time-based One-Time Password)算法,通过“共享密钥”和“时间”两个要素,在用户设备与服务器之间生成相同的动态验证码。即服务器和你的手机APP,各自使用同一个密钥和当前时间,通过相同的算法计算,得出一串相同的数字。

一、生成密钥

1)speakeasy.js

  Node的生态提供了speakeasy.js库,可以生成F2A的密钥,还有供F2A设备扫描的地址。

npm install --save speakeasy

  在项目中安装完成后,就是调用 speakeasy 的生成方法。

  router.get(
    '/get/f2a',
    async (ctx) => {
      const secret = speakeasy.generateSecret({ length: 20 });
      ctx.body = {
        code: 0,
        data: {
          secret: secret.base32,
          url: secret.otpauth_url,
        }
      };
    },
  );

  secret 就是一串字符,而 url 是个 otpauth 协议的地址,生成二维码后便于设备扫描。

{
  "secret": "M4STOUBFGM4UUXJXKZJXS5J4IIWEA3KU",
  "url": "otpauth://totp/SecretKey?secret=M4STOUBFGM4UUXJXKZJXS5J4IIWEA3KU"
}

  node-169

2)账户绑定密钥

  点击上图中的重新绑定按钮,就能将当前 secret 和后台账户绑定起来,在账户表中新增两个字段:otpauthUrl 和 secret。

{
  "_id": {
    "$oid": "5f81288d3578bb005a79cdc1"
  },
  "status": 1,
  "realName": "测试",
  "userName": "xx@xx.me",
  "cellphone": "13800138000",
  "password": "abcd",
  "otpauthUrl": "otpauth://totp/SecretKey?secret=PU4WG5RDJVZVCSDHMM5UYSBFEMSEANBQ",
  "secret": "PU4WG5RDJVZVCSDHMM5UYSBFEMSEANBQ"
}

  后续在登录输入安全码后,就可进行校验了。

二、绑定应用

1)APP

  在应用市场提供了很多的APP,用于显示安全码,界面基本上都是下图这样,例如 authy2FAS 等。

  node-170

2)小程序

  有个叫二次验证码的小程序,也能用于绑定。

  node-171

3)飞书小助手

  还设计了一种更简便的查询方式。

  在机器人的对话框,输入安全码,空格后面跟上自己管理后台的账号邮箱,例如“安全码 xx@xx.com”。

  如此,就能得到该账户的最新安全码。

  node-172

  原理就是查表,然后调用 speakeasy 的 totp() 方法,再调用飞书的接口发送消息。

const account = await this.models.BackendUserAccount.findOne({ userName: email });
const token = speakeasy.totp({
  secret: account.secret,
  encoding: 'base32',
});
// 发送回复消息
await this.messageService.sendTextMessage(chat_id, token);

  不过还有个小问题,就是也能收到别人的安全码。但后台都有查询记录,若出现问题,还能溯源。

1)开关

  增加一步登录校验,在使用时会增加门槛,所以在通用配置中设计了一个开关。

{
  "isOpen": false,
  "whiteList": [
    "yy@yy.com"
  ]
}

  只有在 isOpen 为 true 时,才会开启校验。

  whiteList 是给特殊账户开启的白名单,不需要走校验,例如给第三方用的账户。

2)登录

  登录设计成了两步,两次调用的接口都是 user/login。

  第一步还是原先的输入邮箱和密码。

  输入完后,去请求登录接口,判断是否需要二次校验,若返回JSON包含 f2a。

  则显示弹框,安全码为必填项,点击确定进行二次校验。

  node-173

  下面是登录接口中的部分逻辑,从通用配置中读取开关信息,判断是否弹框,最后校验。

// 判断是否需要F2A安全校验
const configContent = await services.tool.getConfigContent({ 
  key: '1a26f4185f66d6f94ef3897f7a475305' 
});
if(configContent && 
  configContent.isOpen && 
  configContent.whiteList.indexOf(userName) === -1) {
  // 未传随机码,说明是第一步校验,直接返回
  if(!code) {
    ctx.body = { f2a: true };
    return;
  }
  // 校验随机码
  const verifyInfo = {
    secret: account.secret,
    encoding: 'base32',
    token: code,
  }
  const verify = speakeasy.totp.verify(verifyInfo);
  if(!verify) {
    ctx.status = 400;
    ctx.body = { error: '安全码错误' };
    return;
  }
}

3)过渡期

  在开启这个功能前,会有一段时间的过渡期,在登录页面增加说明文档。

  完善密钥,过渡期后,才会正式开启此功能。

  node-174