DevToys Web Pro iconDevToys Web Proالمدونة
قيّمنا:
جرّب إضافة المتصفح:

مولّد OTP (TOTP/HOTP)

الإعدادات

  • الوضع

    اختر بين المستند إلى الوقت (TOTP) أو المستند إلى العداد (HOTP)

  • الخوارزمية

    خوارزمية الهاش لتوليد OTP

  • الأرقام

    عدد الأرقام في رمز OTP

  • الفترة

    الفاصل الزمني لصلاحية رمز TOTP

المفتاح السري

    • الرمز المُنشأ

    • ------

    إعدادات رمز QR

    تحقق من الرمز

    تحقق مما إذا كان الرمز صالحًا للسر الحالي

    معرّف URI لمصادقة OTP

    • استخدم هذا الـ URI أو امسح رمز QR لإضافة هذا الحساب إلى تطبيق المصادقة

    التفاصيل التقنية

    كيف يعمل مولّد OTP

    ما الذي تفعله الأداة

    ينشئ مولّد OTP هذا كلمات مرور لمرة واحدة معتمدة على الوقت (TOTP) وكلمات مرور لمرة واحدة معتمدة على HMAC (HOTP) ومتوافقة مع Google Authenticator وAuthy وتطبيقات المصادقة الثنائية الأخرى. أدخل أو أنشئ مفتاحًا سريًا بصيغة Base32، وستقوم الأداة بإنتاج رموز من 6 إلى 8 أرقام تتغير كل 30 أو 60 ثانية في حالة TOTP، أو تزداد مع عدّاد في حالة HOTP. تُجرى جميع العمليات الحسابية محليًا في متصفحك باستخدام Web Crypto API، لذا لا يغادر سرك جهازك أبدًا.

    حالات استخدام شائعة للمطورين

    يستخدم المطوّرون مولّد TOTP عبر الإنترنت لاختبار تطبيقات المصادقة الثنائية، والتحقق من أن مكتبات OTP لديهم تنتج رموزًا صحيحة، وتصحيح مسارات المصادقة. عند بناء نظام 2FA، يمكنك استخدام هذه الأداة لتوليد أسرار اختبار، والتحقق من تنفيذ TOTP على جانب الخادم، والتأكد من صحة مزامنة الوقت. كما تساعد فرق ضمان الجودة على التحقق من سير عمل 2FA دون تثبيت تطبيقات المصادقة على أجهزتهم.

    تنسيقات البيانات والمعايير

    تطبّق أداة OTP معايير RFC 6238 (TOTP) وRFC 4226 (HOTP). تستخدم المفاتيح السرية ترميز Base32، وهو التنسيق القياسي لتطبيقات المصادقة. تدعم الأداة خوارزميات التجزئة SHA-1 (الافتراضية والأكثر توافقًا) وSHA-256 وSHA-512. يمكن أن تكون رموز الإخراج من 6 أو 7 أو 8 أرقام، مع كون 6 هو الأكثر شيوعًا. تنسيق OTP Auth URI ‏(otpauth://totp/...) متوافق مع Google Authenticator والتطبيقات المشابهة.

    المزالق الشائعة والحالات الطرفية

    رموز TOTP شديدة الحساسية للوقت. إذا كانت ساعات الخادم والعميل غير متزامنة بأكثر من 30 ثانية، فستفشل المصادقة. تسمح معظم التطبيقات بنافذة قدرها 1-2 خطوة زمنية للتعامل مع الانحراف البسيط. تُعد SHA-1 الخوارزمية الأكثر دعمًا على نطاق واسع؛ وقد لا تدعم بعض تطبيقات المصادقة الأقدم SHA-256 أو SHA-512. تأكد من أن مفتاحك السري مُرمّز بـ Base32 بشكل صحيح—فالأحرف غير الصالحة ستسبب أخطاء في فك الترميز.

    متى تستخدم هذه الأداة بدلًا من الكود

    استخدم مولّد OTP هذا للاختبار وتصحيح الأخطاء والتحقق من تنفيذ 2FA أثناء التطوير. لأنظمة الإنتاج، أنشئ رموز OTP وتحقق منها على خادمك باستخدام مكتبات معتمدة مثل pyotp ‏(Python) وspeakeasy ‏(Node.js) أو GoogleAuthenticator ‏(لغات متعددة). لا تكشف المفاتيح السرية في الشيفرة على جانب العميل. هذه الأداة مثالية لسير عمل التطوير، لكن ينبغي لتطبيقك التعامل مع التحقق من OTP على جانب الخادم.