مولد OTP (TOTP/HOTP)
پیکربندی
حالت
بین حالت مبتنی بر زمان (TOTP) یا مبتنی بر شمارنده (HOTP) انتخاب کنید
الگوریتم
الگوریتم هش برای تولید OTP
رقمها
تعداد رقمهای کد OTP
دوره
بازه زمانی اعتبار کد TOTP
کلید محرمانه
کد تولیدشده
تنظیمات کد QR
تأیید کد
بررسی کنید که آیا یک کد برای کلید محرمانه فعلی معتبر است یا خیر
نشانی URI احراز هویت OTP
از این URI استفاده کنید یا کد QR را اسکن کنید تا این حساب را به یک برنامه احراز هویت اضافه کنید
جزئیات فنی
مولد OTP چگونه کار میکند
این ابزار چه کاری انجام میدهد
این مولد OTP، رمزهای یکبارمصرف مبتنی بر زمان (TOTP) و رمزهای یکبارمصرف مبتنی بر HMAC (HOTP) سازگار با Google Authenticator، Authy و سایر اپهای 2FA را ایجاد میکند. یک کلید محرمانهٔ Base32 را وارد یا تولید کنید؛ سپس ابزار کدهای ۶ تا ۸ رقمی تولید میکند که برای TOTP هر ۳۰ یا ۶۰ ثانیه تغییر میکنند، یا برای HOTP با یک شمارنده افزایش مییابند. همهٔ محاسبات بهصورت محلی در مرورگر شما با استفاده از Web Crypto API انجام میشود، بنابراین راز شما هرگز از دستگاهتان خارج نمیشود.
موارد استفادهٔ رایج برای توسعهدهندگان
توسعهدهندگان از یک مولد آنلاین TOTP برای تست پیادهسازیهای احراز هویت دومرحلهای، بررسی اینکه کتابخانههای OTP آنها کدهای درست تولید میکنند، و اشکالزدایی جریانهای احراز هویت استفاده میکنند. هنگام ساخت یک سیستم 2FA، میتوانید از این ابزار برای تولید رازهای آزمایشی، اعتبارسنجی پیادهسازی TOTP سمت سرور و اطمینان از درست بودن همگامسازی زمان استفاده کنید. همچنین به تیمهای QA کمک میکند گردشکارهای 2FA را بدون نصب اپهای احراز هویت روی دستگاههایشان بررسی کنند.
قالبهای داده و استانداردها
ابزار OTP استانداردهای RFC 6238 (TOTP) و RFC 4226 (HOTP) را پیادهسازی میکند. کلیدهای محرمانه از کدگذاری Base32 استفاده میکنند که قالب استاندارد برای اپهای احراز هویت است. این ابزار از الگوریتمهای هش SHA-1 (پیشفرض و سازگارترین)، SHA-256 و SHA-512 پشتیبانی میکند. کدهای خروجی میتوانند ۶، ۷ یا ۸ رقمی باشند که ۶ رقمی رایجترین است. قالب OTP Auth URI (otpauth://totp/...) با Google Authenticator و اپهای مشابه سازگار است.
دامهای رایج و حالتهای لبهای
کدهای TOTP بهشدت به زمان حساس هستند. اگر ساعت سرور و کلاینت بیش از ۳۰ ثانیه از هم ناهماهنگ باشند، احراز هویت شکست میخورد. بیشتر پیادهسازیها برای مدیریت انحراف جزئی، یک پنجرهٔ ۱ تا ۲ گام زمانی را مجاز میدانند. SHA-1 گستردهترین الگوریتمِ پشتیبانیشده است؛ برخی اپهای قدیمیتر احراز هویت ممکن است از SHA-256 یا SHA-512 پشتیبانی نکنند. مطمئن شوید کلید محرمانهٔ شما بهدرستی با Base32 کدگذاری شده است—کاراکترهای نامعتبر باعث خطای رمزگشایی میشوند.
چه زمانی از این ابزار استفاده کنیم در برابر کُد
از این مولد OTP برای تست، اشکالزدایی و اعتبارسنجی پیادهسازی 2FA خود در طول توسعه استفاده کنید. برای سیستمهای تولیدی، کدهای OTP را روی سرور خود با استفاده از کتابخانههای معتبر مانند pyotp (Python)، speakeasy (Node.js) یا GoogleAuthenticator (زبانهای مختلف) تولید و بررسی کنید. هرگز کلیدهای محرمانه را در کد سمت کلاینت افشا نکنید. این ابزار برای گردشکارهای توسعه ایدهآل است، اما برنامهٔ شما باید اعتبارسنجی OTP را در سمت سرور انجام دهد.