TOTP/HOTP 动态验证码

输入 Base32 密钥,实时生成 TOTP/HOTP 动态验证码,支持二维码生成和 Google Authenticator 扫描

配置参数
仅支持 A-Z 和 2-7,建议 16 或 32 字符
二维码信息(可选)
当前 TOTP 验证码
------
剩余有效时间 -- 秒
上一个(-30s)
------
下一个(+30s)
------
验证验证码
扫描添加到 Authenticator
关于 TOTP/HOTP 动态验证码
  • TOTP(基于时间的一次性密码,RFC 6238):每 30 秒自动刷新,是 Google Authenticator、Authy 等应用的标准算法
  • HOTP(基于计数器的一次性密码,RFC 4226):每次使用后计数器递增,适用于硬件令牌等场景
  • 适用场景:调试两步验证集成、测试 OTP 服务端逻辑、生成临时访问令牌
操作说明
  • 输入 Base32 格式密钥(如 JBSWY3DPEHPK3PXP),点击「生成验证码」或点击「TOTP 示例」快速体验
  • TOTP 模式:验证码每 30 秒自动刷新,进度条显示剩余有效时间;同时展示上一个和下一个验证码(±1 容错窗口)
  • HOTP 模式:每次点击「生成验证码」后计数器自动 +1,也可手动调整计数器值
  • 填写账户名和发行方后点击「生成二维码」,可用 Google Authenticator / Authy 扫描添加
  • 在验证框输入验证码后点击「验证」,可校验当前时间窗口(±1 步长)内的有效性
  • 点击「随机生成密钥」按钮可生成一个随机 Base32 密钥
注意事项
  • TOTP 依赖系统时间,若本机时间与服务器时间偏差超过 30 秒,验证码将无法通过验证
  • 此工具仅用于开发调试,请勿将真实账户的 OTP 密钥输入任何在线工具
  • 所有计算均在浏览器本地完成,密钥不会上传至任何服务器
TOTP/HOTP 知识详解
TOTP 工作原理

TOTP 基于 HMAC-SHA1 算法,计算流程如下:

T = floor(当前Unix时间戳 / 时间步长) // 默认步长30秒 HMAC = HMAC-SHA1(Base32解码(密钥), T的8字节大端表示) 偏移 = HMAC最后一字节的低4位 截取 = HMAC[偏移..偏移+4] 的低31位 OTP = 截取 mod 10^位数 // 默认6位

客户端和服务端使用相同的密钥和时间,独立计算出相同的验证码,无需网络传输验证码本身。

TOTP vs HOTP 对比
维度TOTP(RFC 6238)HOTP(RFC 4226)
计数因子当前时间戳 / 步长递增计数器
有效期30 秒(可配置)直到使用为止
同步要求客户端与服务端时间同步计数器同步
典型应用Google Authenticator、Authy、Microsoft Authenticator硬件令牌(如 YubiKey)
安全性较高(短时效)中等(需防重放)
otpauth:// URI 格式说明

二维码中编码的是标准 otpauth:// URI,格式如下:

otpauth://totp/发行方:账户名?secret=BASE32密钥&issuer=发行方&algorithm=SHA1&digits=6&period=30
  • totp / hotp:OTP 类型
  • secret:Base32 编码的共享密钥(必填)
  • issuer:发行方名称,显示在 Authenticator 应用中
  • digits:验证码位数(6 或 8)
  • period:TOTP 时间步长(秒),HOTP 使用 counter
两步验证集成最佳实践
  • 服务端存储 Base32 密钥时应加密,不得明文存储
  • 验证时允许 ±1 步长的容错(即接受前一个和后一个验证码),以应对客户端时间轻微偏差
  • 每个验证码只能使用一次,服务端需记录已使用的验证码防止重放攻击
  • 提供备用恢复码(Recovery Codes),防止用户丢失设备后无法登录
  • 密钥长度建议 160 位(20 字节,Base32 编码后 32 字符)
常见 Authenticator 应用对比
应用平台云备份特点
Google AuthenticatoriOS / Android✅ Google 账户最广泛使用,界面简洁
AuthyiOS / Android / 桌面✅ Authy 云多设备同步,支持桌面端
Microsoft AuthenticatoriOS / Android✅ Microsoft 账户与 Microsoft 生态深度集成
1Password全平台✅ 1Password 云密码管理器内置 OTP
Bitwarden全平台✅ 自托管/云开源,支持自托管

相关工具

AES加解密

AES(高级加密标准)在线加解密工具,支持AES-128、AES-192、AES-256三种密钥长度,以及CBC、ECB、CTR、OFB、CFB等多种加密模式。可自定义密钥和初始向量(IV),支持Base64与Hex两种输出格式。AES是目前最广泛使用的对称加密算法,被美国政府和众多安全协议采用。适用于密码加密存储、API通信数据保护、敏感信息传输等场景。所有加解密操作均在浏览器本地完成,数据不会上传至服务器,保障您的数据隐私安全。

ASCII编解码

ASCII在线编解码工具,支持文本与ASCII码的双向转换。可将普通文本转换为ASCII十进制、十六进制或二进制表示,也可将ASCII码还原为可读文本。支持批量处理,实时显示转换结果。ASCII(美国信息交换标准代码)是最基础的字符编码标准,包含128个字符,涵盖英文字母、数字、标点符号和控制字符。广泛应用于网络协议、文件格式解析、数据传输调试等场景。所有转换在浏览器本地完成,无需上传数据。

Base64在线编解码

Base64在线编解码工具,支持文本与Base64编码的双向转换,以及图片文件转Base64 Data URI格式。提供标准Base64和URL安全Base64(将+替换为-,/替换为_)两种模式。Base64是一种将二进制数据转换为ASCII字符串的编码方式,广泛用于电子邮件附件传输、HTTP Basic认证、JWT令牌、CSS内嵌图片、API数据传输等场景。支持批量处理大文本,实时显示编解码结果,所有操作在浏览器本地完成,保护数据隐私。

AES在线加解密工具

AES(高级加密标准)在线加解密工具,提供简洁易用的加解密界面。支持AES-128、AES-192、AES-256密钥长度,CBC、ECB等加密模式,可自定义密钥和初始向量。AES是目前最安全、应用最广泛的对称加密算法之一,被广泛用于数据库密码加密、文件加密、网络通信安全等场景。工具完全在浏览器本地运行,加解密过程不经过服务器,有效保护您的敏感数据不被泄露,是开发者和安全工程师的实用工具。

DES在线加解密工具

DES(数据加密标准)在线加解密工具,支持标准DES算法的加密和解密操作。可自定义64位密钥,支持CBC、ECB、CFB、OFB等多种加密模式,输出支持Base64和Hex格式。DES是早期广泛使用的对称加密算法,虽然现代安全场景推荐使用AES,但在遗留系统对接和学习密码学原理时仍有重要价值。工具完全在浏览器本地运行,所有加解密操作不上传数据,保护您的数据隐私安全。

Escape编解码

在线Escape编解码工具,支持JavaScript的escape()和unescape()函数对应的编解码操作。将包含特殊字符、中文、非ASCII字符的字符串转换为%XX或%uXXXX格式的编码字符串,以及将编码字符串还原为原始文本。虽然escape()在现代Web开发中已被encodeURIComponent()取代,但在处理遗留代码、Cookie值编码、某些特定协议时仍有使用场景。工具支持批量处理,实时显示编解码结果,所有操作在浏览器本地完成。

HTML转义

在线HTML转义工具,支持HTML特殊字符的转义(编码)和反转义(解码)操作。将<、>、&、"、'等HTML特殊字符转换为对应的HTML实体(&lt;、&gt;、&amp;、&quot;、&#39;),防止XSS跨站脚本攻击。也可将HTML实体还原为原始字符。在Web开发中,将用户输入内容输出到HTML页面前必须进行HTML转义,这是防止XSS攻击的基本安全措施。适用于安全测试、内容展示、代码示例展示等场景,所有处理在浏览器本地完成。

JS加解密

在线JavaScript RSA加解密工具,基于JSEncrypt库实现前端RSA非对称加密。支持使用公钥加密数据、使用私钥解密数据,密钥长度支持512位、1024位、2048位。RSA非对称加密在前端安全中广泛应用,如登录密码加密传输、敏感数据保护等场景。工具提供密钥对生成功能,可直接生成测试用的公私钥对。所有加解密操作在浏览器本地完成,私钥不会上传至服务器,保障密钥安全,是前端安全开发的实用工具。

JS加密混淆

在线JavaScript代码混淆工具,通过变量名替换、字符串加密、控制流扁平化等技术对JS代码进行混淆处理,增加代码逆向工程的难度,保护前端代码逻辑和商业秘密。支持自定义混淆强度,在代码保护程度和运行性能之间取得平衡。混淆后的代码功能完全等同于原始代码,但可读性极低,有效防止竞争对手抄袭核心算法。适用于商业前端项目、游戏逻辑保护、授权验证代码保护等场景,所有处理在浏览器本地完成。

MD5在线加密

在线MD5加密工具,支持对任意字符串生成MD5哈希值,输出32位十六进制字符串。支持大写和小写两种输出格式,可选择UTF-8或GBK编码处理中文字符。MD5(消息摘要算法5)是广泛使用的哈希函数,常用于文件完整性校验(下载文件MD5验证)、密码存储(加盐MD5)、数字签名、数据去重等场景。注意:MD5已被证明存在碰撞漏洞,不建议用于安全敏感场景,推荐使用SHA-256。所有计算在浏览器本地完成,数据不上传服务器。

摩尔斯电码

在线摩尔斯电码编解码工具,支持中文和英文文本与摩尔斯电码的双向转换。英文摩尔斯电码遵循国际标准(ITU),中文摩尔斯电码采用中文电码表(四位数字编码)。输入文本自动转换为点(·)和划(-)组成的摩尔斯电码,也可将摩尔斯电码还原为文字。摩尔斯电码是历史上最重要的通信编码之一,在无线电通信、航海、航空等领域有重要应用,也是密码学和编码学习的经典案例,所有处理在浏览器本地完成。

Native/Unicode转换

在线Native与Unicode编码互转工具,支持中文等非ASCII字符与Unicode转义序列(\uXXXX格式)的双向转换。将包含中文的文本转换为Java properties文件所需的Unicode转义格式(如"你好"转为"\u4F60\u597D"),以及将Unicode转义序列还原为可读的原始文字。在Java国际化(i18n)开发中,properties资源文件需要将非ASCII字符转换为Unicode转义序列。本工具是Java开发者处理多语言资源文件的必备工具,所有处理在浏览器本地完成。

Rabbit加解密

在线Rabbit流加密算法加解密工具,基于CryptoJS库实现。Rabbit是一种高速流加密算法,由Martin Boesgaard等人设计,以其极高的加密速度和良好的安全性著称,特别适合需要高吞吐量的加密场景。支持自定义密钥和初始向量(IV),输出支持Base64和Hex格式。Rabbit算法在嵌入式系统、实时通信加密、大数据流加密等对性能要求较高的场景中有广泛应用。所有加解密操作在浏览器本地完成,数据不上传服务器,保护数据隐私安全。

RC4加解密

在线RC4流加密算法加解密工具,基于CryptoJS库实现。RC4(Rivest Cipher 4)是由Ron Rivest设计的流加密算法,以其简单高效著称,曾被广泛用于SSL/TLS协议和WEP无线网络加密。支持自定义密钥,输出支持Base64和Hex格式。注意:RC4已被发现存在安全漏洞,现代安全协议已弃用RC4,不建议在新项目中使用。本工具主要用于遗留系统对接、密码学学习和研究目的。所有加解密操作在浏览器本地完成,数据不上传服务器。

RSA在线解密工具

在线RSA解密工具,使用RSA私钥对加密数据进行解密。支持PKCS#1和PKCS#8格式的私钥,输入支持Base64和Hex编码的密文。RSA(Rivest-Shamir-Adleman)是最广泛使用的非对称加密算法,基于大整数分解的数学难题,提供极高的安全性。RSA解密常用于接收加密通信、验证数字签名、解密会话密钥等场景。注意:私钥是高度敏感信息,本工具所有操作在浏览器本地完成,私钥不会上传至服务器,请在安全环境中使用。

RSA在线加密工具

在线RSA加密工具,使用RSA公钥对数据进行加密。支持PKCS#1和PKCS#8格式的公钥,密钥长度支持1024位、2048位、4096位,输出支持Base64和Hex编码格式。RSA非对称加密的核心优势是公钥可以公开分发,只有持有对应私钥的人才能解密,广泛用于安全通信、数字签名、密钥交换等场景。本工具适用于前端登录密码加密、API请求签名、敏感数据保护等开发场景,所有加密操作在浏览器本地完成,数据不上传服务器。

SHA在线加密

在线SHA哈希加密工具,支持SHA-1、SHA-224、SHA-256、SHA-384、SHA-512、SHA3-256、SHA3-512等多种SHA算法变体。输入任意文本,生成对应的哈希值,输出支持十六进制大写和小写格式。SHA(安全哈希算法)是目前最广泛使用的密码哈希函数族,SHA-256是比特币等区块链技术的核心算法,SHA-512提供更高安全强度。适用于密码存储(加盐哈希)、文件完整性验证、数字签名、区块链开发等场景,所有计算在浏览器本地完成,数据不上传服务器。

TripleDES在线加解密工具

在线TripleDES(3DES)加解密工具,对数据进行三次DES加密处理,提供比单次DES更高的安全强度。支持CBC、ECB等加密模式,可自定义密钥(112位或168位)和初始向量,输出支持Base64和Hex格式。TripleDES在金融行业(ATM机、POS终端、银行系统)中广泛使用,是许多金融标准(如EMV、ANSI X9.52)的指定加密算法。虽然现代系统推荐使用AES,但在与遗留金融系统对接时仍需使用3DES,所有操作在浏览器本地完成。

Unicode编解码

在线Unicode编解码工具,支持文本与Unicode码点表示(\uXXXX格式)的双向转换。将包含中文、日文、韩文、特殊符号等非ASCII字符的文本转换为Unicode转义序列,以及将Unicode转义序列还原为可读文字。Unicode是现代计算机系统的通用字符编码标准,涵盖全球所有语言的字符。本工具适用于处理多语言字符串、调试编码问题、在不支持Unicode的环境中传输多语言文本、学习字符编码原理等场景,所有处理在浏览器本地完成。

URL编码解码

在线URL编码解码工具,支持URL编码(百分号编码)和解码的双向转换。将URL中的特殊字符(空格、中文、&、=、?等)转换为%XX格式的编码,以及将编码后的URL还原为可读格式。提供encodeURI(编码完整URL)和encodeURIComponent(编码URL参数值)两种编码模式。URL编码在Web开发中不可或缺,用于处理含特殊字符的URL参数、构建API请求、处理表单提交数据等场景。工具支持批量处理,所有操作在浏览器本地完成,数据不上传服务器。

URL在线编解码

在线URL编解码工具,提供简洁易用的URL编码和解码界面。支持将包含中文、空格、特殊符号的文本进行URL编码(转换为%XX格式),以及将URL编码字符串解码还原为原始文本。特别适合处理含中文的URL参数编码、API接口调试时的参数处理、爬虫开发中的URL解析等场景。与urlcode工具互补,提供另一种简洁的操作界面,方便不同使用习惯的开发者选择,所有操作在浏览器本地完成,数据不上传服务器。

UTF-8编解码

在线UTF-8编解码工具,支持文本与UTF-8字节序列的双向转换。将文本转换为UTF-8编码的字节表示(十六进制或十进制格式),以及将UTF-8字节序列还原为可读文字。UTF-8是互联网上最广泛使用的字符编码,能够表示Unicode标准中的任意字符,中文字符通常占用3个字节。适用于调试字符编码问题、理解多字节字符的存储方式、网络协议开发中的字节处理、嵌入式系统字符处理等场景,所有处理在浏览器本地完成,数据不上传服务器。

JWT解析器

在线JWT(JSON Web Token)解析工具,将JWT字符串解码为Header、Payload、Signature三部分,格式化展示载荷中的声明(claims)信息,并显示过期时间、签发时间等关键字段。支持HS256/RS256等算法的签名验证,所有处理在浏览器本地完成,Token不上传服务器。

SSL证书解析

在线SSL/TLS证书解析工具,解析PEM格式的X.509证书,展示证书的主题(Subject)、颁发者(Issuer)、有效期、序列号、公钥算法、SAN(Subject Alternative Name)等详细信息。帮助开发者快速检查证书内容和有效性,所有处理在浏览器本地完成。

自签证书生成器

在线自签名SSL证书生成工具,可生成自签名根证书(Root CA)和服务器证书,配置CN/O/OU/C等证书信息、有效期、密钥长度(2048/4096位)和SAN多域名。支持导出PEM格式的证书和私钥,适用于本地HTTPS开发测试、内网服务器和Docker容器环境,所有处理在浏览器本地完成。

CSR证书请求生成器

在线CSR(证书签名请求)生成工具,填写证书信息(CN/O/OU/C/ST/L)后自动生成CSR文件和对应私钥,用于向CA机构申请SSL证书。支持2048/4096位RSA密钥,输出PEM格式,所有处理在浏览器本地完成,私钥不上传服务器。

图片Base64转换

在线图片与Base64互转工具,支持图片转Base64编码(Data URL格式)和Base64解码还原图片。适用于CSS内嵌图片、HTML邮件图片嵌入等场景,所有处理在浏览器本地完成。

文件哈希校验

在线文件哈希校验工具,支持计算文件的MD5、SHA-1、SHA-256、SHA-512哈希值,用于验证文件完整性和一致性。支持拖拽上传,所有计算在浏览器本地完成,文件不上传服务器。

Bcrypt哈希生成与验证

Bcrypt密码哈希在线生成与验证工具,支持自定义cost轮次(4~12),实时显示生成耗时。可验证明文密码与已有哈希是否匹配,所有计算在浏览器本地完成,数据不上传服务器。

HMAC消息认证码

HMAC(基于哈希的消息认证码)在线生成工具,支持HMAC-MD5、HMAC-SHA1、HMAC-SHA256、HMAC-SHA512算法,输出Hex/Base64/Base64URL格式。常用于API签名、数据完整性校验,所有计算在浏览器本地完成。