负责过用户系统，也调研 过 2FA/MFA(多因素)。
海外用户多的主要的原因在于，账户习惯使用邮箱。从而在安全性上更加需要二次验证。（如 Github 、Gmail 、Reddit ）
国内由于手机号（并且近些年的实名），本身短信验证码就是 2FA 的一种实现方案。

------------------------

题外话，从安全性来说，手机短信的安全性 > TOTP 离线动态码（简称令牌）。
业界通用的方案是绑定令牌前，需要绑定手机号。
也可以通过手机验证码解绑令牌。

------------------------

为什么要求时间跟服务器要求 30 秒误差内？
这个只是 Google 提供的算法默认配置而已，算法本身可以简单理解为 hash (密钥 + current_time() / 30) 得到的值。
所以大于 > 30 秒，客户端 和 服务端 计算出来的 hash 值就不一致了。

------------------------

误差大于 30 秒的解决方案？
server 的校验客户端计算出的 hash 值时，可以配置允许的误差，如前后加 N 个时间片（ current_time() / 30 ）。
举例：如果允许前后加 1 个时间片，服务端几计算的动态值为 CH 。
那么 server 会校验 3 次。
CH == hash (密钥 + current_time() / 30)
|| CH ==hash (密钥 + (current_time() / 30) - 1)
|| CH == hash (密钥 + (current_time() / 30) + 1)

匹配成功一次即为验证成功。

+1

@whyrookie +1

@kop1989 +1

+1

记得

分子

有碗小面 /来碗小面

Apple watch

@est 同意，人肉 API

问自己