TOTP 与 HOTP 生成器

RFC 6238 / 4226 · 完全在浏览器中运行

工作原理

TOTP(基于时间的一次性密码,RFC 6238)与 HOTP(基于 HMAC,RFC 4226)都是用共享密钥对计数器做 HMAC 签名,然后将结果截断为指定位数。TOTP 的计数器是 floor(unixTime / period);HOTP 的计数器由应用提供,每次成功使用后递增。

本页实现了两种标准并支持真实部署常见的全部选项:HMAC-SHA1(出于历史兼容默认)、SHA-256 与 SHA-512;6、7 或 8 位验证码;TOTP 的 30 或 60 秒窗口;以及 HOTP 的显式计数器输入。HMAC 计算运行在浏览器原生 Web Crypto API 上,密钥永远不会跨越网络边界。

otpauth:// 导入

在密钥字段中粘贴 otpauth://totp/... 或 otpauth://hotp/... URI,所有选项都会从其参数自动填充 — 算法、位数、周期、计数器与密钥。这正是 Google Authenticator 设置二维码所产生的 URI 格式,因此你可以直接从邮件或 2FA 设置页复制粘贴的 URI,在导入前先看看它实际会做什么。

反过来,生成 QR 按钮会把当前配置交给 QR 生成器,让你直接扫到手机的认证器中,无需重新输入。

常见用例

• 在服务器账号上设置 2FA,在最终提交配置前验证密钥已被正确保存。
• 认证应用不可用但你仍持有原始密钥时,恢复一次性验证码。
• 调试基于 OTP 的自动化:在自己机器上生成预期验证码,与你的代码所产生的对比。
• 检查通过聊天或邮件收到的可疑 otpauth:// URI,在导入手机之前先做审查。
• 在不引入第三方库的情况下,针对向量代码路径(SHA-256、8 位、60 秒)测试 2FA 实现。

隐私

你的密钥仅在浏览器中处理,永不被传输、记录或存储。没有统计脚本、没有 Cookie、没有遥测。本页完整源码就是普通 HTML 与 JavaScript — 在粘贴敏感内容前,你可以右键查看源代码进行审计。