typecho动态口令插件

标识:cj0019

出于网站安全性的考虑，想在 Typecho 管理后台登录时加一个基于 OTP 的多因素认证功能，网上找了半天没有合适的扩展，唯一找到的一个扩展还不支持多用户，于是就自己写了一个。

• 依赖要求：Typecho 1.2.0+
• 特点：界面简洁、支持多用户

插件开启后，在登录页面会多一个动态码输入框，需要输入账户密码时同时输入 OTP 动态码 (令牌) 进行校验，校验失败时会提示相应错误信息。

绑定 OTP 密钥展开目录

在个人设置页面，使用 腾讯身份验证器 扫码或手动绑定，扫描后输入六位动态码进行验证。
绑定成功后密钥固定不再变化，未绑定时每次加载个人页面随机生成密钥（若怀疑密钥已泄露不安全，则解绑后重新绑定即可）。

解绑 OTP 认证

绑定成功后再进入个人设置页面，可以校验六位验证码，可以进行解绑操作。

登录认证

插件开启后，后台登陆页面会增加一个动态码输入框，已绑定的后台用户在登陆时需要校验 OTP 动态码，未绑定的用户则不会校验，为空正常登录即可。

插件配置

第一个是 OTP 认证码的时间窗口期，主要用于解决客户端和服务器时间戳不一致的问题。
第二个为一个防呆设计，因为 Typecho 插件卸载后插件的所有数据都将删除，这就会导致所有人的 OTP 密钥全部丢失，即使重新开启插件也无法恢复，为了防止不小心点到禁用按钮，需要在设置页面改为确认卸载后才允许卸载插件。