NodeJS:
https://github.com/guyht/notp 简洁无依赖,需要thirty-two和二维码生成工具配合
https://github.com/speakeasyjs/speakeasy
手机App:
Google Authenticator
http://otp.aliyun.com/ 阿里 风云令
等等
原理简介:
1 服务器端生成一个字符串secret,手机App端扫码获得该字符串secret。
2 手机App端利用约定好的现有算法,根据当前时间time,用sha(secret+time)生成新字符串token,截取token并转换为六位数的十进制数字num。
3 服务器端做同样的操作,生成num
4 手机App端的num和服务器端的num比对,相同则认为验证成功,不同则验证失败。
实际中,num变化不能太频繁,用time/30生成token,即三十秒变化一次即可;
而且要有容错性,服务器端要生成前后几分钟的多个num(一般为两分钟,4个),来和手机App的num比对,只要有一个匹配,就认为成功,