开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在Strapi中实现2FA(使用OTP)？

在Strapi中实现2FA（使用OTP）需要以下步骤：

安装依赖：首先，确保你已经安装了Node.js和npm。然后，在你的Strapi项目根目录下，打开终端并运行以下命令来安装speakeasy和qrcode依赖：

npm install speakeasy qrcode

创建2FA服务：在Strapi项目中，你可以创建一个自定义的服务来处理2FA逻辑。在./api目录下创建一个新的文件夹，例如./api/2fa，然后在该文件夹下创建一个名为2fa.js的文件。
实现2FA逻辑：在2fa.js文件中，你可以使用speakeasy库来生成和验证OTP（一次性密码）。以下是一个简单的实现示例：

const speakeasy = require('speakeasy');
const qrcode = require('qrcode');

module.exports = {
  generateSecret: async (ctx) => {
    const secret = speakeasy.generateSecret({ length: 20 });
    const otpauthURL = speakeasy.otpauthURL({
      secret: secret.base32,
      label: 'My App',
      issuer: 'My Company',
    });
    const qrCode = await qrcode.toDataURL(otpauthURL);
    return { secret: secret.base32, qrCode };
  },

  verifyToken: async (ctx) => {
    const { token, secret } = ctx.request.body;
    const verified = speakeasy.totp.verify({
      secret,
      encoding: 'base32',
      token,
      window: 1,
    });
    return { verified };
  },
};

创建路由：在./config/routes.json文件中，添加以下路由配置：

{
  "routes": [
    {
      "method": "POST",
      "path": "/2fa/generate",
      "handler": "2fa.generateSecret"
    },
    {
      "method": "POST",
      "path": "/2fa/verify",
      "handler": "2fa.verifyToken"
    }
  ]
}

使用2FA服务：现在，你可以通过发送HTTP请求来使用2FA服务。以下是一些示例请求：

生成2FA密钥和二维码：
生成2FA密钥和二维码：
验证OTP令牌：
验证OTP令牌：

这样，你就可以在Strapi中实现2FA（使用OTP）了。请注意，这只是一个简单的示例，你可以根据自己的需求进行修改和扩展。

推荐的腾讯云相关产品：腾讯云服务器（CVM）、腾讯云数据库（TencentDB）、腾讯云对象存储（COS）、腾讯云容器服务（TKE）、腾讯云人工智能（AI Lab）等。你可以访问腾讯云官方网站了解更多产品信息和文档：腾讯云。

相关搜索:如何在ionic中使用strapi实现facebook登录如何在cosmos DB中实现复杂的SQL语句，如JOIN和GROUP BY 在配置为使用MySql的strapi中，如何在代码中创建新的内容类型记录？FastAPI如果使用响应模型，如何在响应中插入附加信息(如查询)？如何在不使用库的情况下在Vuejs中手动限制Otp输入字段maxlength为1？如何在ag网格中实现查找列值和替换为新值(如查找和替换)在使用Java时如何在Spanner中实现分页如何在Angular中添加动画(如fadeIn和fadeOut) (使用ngx-owl-carousel-o)？如何在Spring boot中实现循环队列使用者如何在python中不使用HMAC库来实现hmac？如何在Laravel5.4中使用setInterval实现AJAX 如何在Angular 5中使用TypeScript实现多选下拉？如何在Headless架构中实现安全性(使用Angular)如果不使用“bindActionCreators”，如何在类组件中实现连接如何在SQL中实现在Informatica中使用的First()函数？如何在css中实现这种风格，而不使用position:absolute？如何在使用@Async的方法中实现回调(Springboot App)如何在C++中仅按类使用链表实现队列如何在使用NativeScript实现的接口侦听器中引用'this‘？如何在nodejs中检查设备系统信息(如RAM大小和实际使用情况)

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

利用简单暴力枚举绕过目标系统2FA验证机制

今天分享的这篇Writeup是作者在参与漏洞众测中，针对目标系统的动态口令OTP (One Time Password)，通过利用简单的暴力枚举方法，实现了对目标系统双因素验证机制2FA (Two-Factor Authentication)的绕过或破解。目标系统是印度最大的旅行服务公司网站，其采用了动态口令OTP作为双因素验证2FA的实现手段。

02

[信息安全] 4.一次性密码 && 身份认证三要素

在信息安全领域，一般把Cryptography称为密码，而把Password称为口令。日常用户的认知中，以及我们开发人员沟通过程中，绝大多数被称作密码的东西其实都是Password（口令），而不是真正意义上的密码。本文保持这种语义，采用密码来代指Password，而当密码和口令同时出现时，用英文表示以示区分。 0. OTP一次性密码 OTP是One Time Password的简写，即一次性密码。在平时生活中，我们接触一次性密码的场景非常多，比如在登录账号、找回密码，更改密码和转账操作等等这些场景，其

06

多因子类身份认证

密码作为我们平时最常使用的用户身份验证方式有其便捷性，但是仔细思考你也不难发现其中存在着较多的安全问题。首先我们的密码是由用户自我定义设置的，期间不排除用户设置弱口令密码或者使用键盘布局的脆弱密码(当然部分考虑安全的系统会制定对应的密码策略对其进行限制)，其次即便我们使用了极为复杂的密码，也不能完全规避"社工钓鱼"和"中间人"攻击等威胁，攻击者可以通过脱浏览器端的凭据信息等方式获取用户的密码，再者就是用户都有一个特征就是"惰性"，很多用户在多个网站可能会使用同一个登录密码，故此攻击者可以通过找寻被泄露的账户密码获取到真实的账户密码信息并实现登录操作，基于以上多个风险层面，我们接下来对用户的身份认证进行简易的探讨并结合业务、测评等维度给出关联的安全设计

01

什么是双因素验证 2FA，如何用 Python 实现？

你说，加上短信验证码不就安全了，其实短信验证码也是不安全的，容易被拦截和伪造，SIM 卡也可以克隆，已经有案例，先伪造身份证，再申请一模一样的手机号码，把钱转走。

01

CVE-2021-22911：Pre-Auth Blind NoSQL 注入导致 Rocket Chat 3.12.1 RCE

预认证盲 NoSQL 注入导致 Rocket Chat 3.12.1 中的远程代码执行

03

如何在Ubuntu 18.04上配置多重身份验证

双因素身份验证（2FA）是一种身份验证方法，需要输入多条信息才能成功登录帐户或设备。除了输入用户名和密码组合之外，2FA还要求用户输入一条额外的信息，例如一次性密码（OTP），如六位数的验证码。

03

安全资讯|Android恶意软件可以窃取谷歌认证器的2FA代码

新版本的“Cerberus”安卓银行木马将能够窃取谷歌认证应用程序生成的一次性代码，并绕过受2fa(双因素认证)保护的账户。

02

如何为WordPress网站添加双因素身份验证

不管你是使用 WordPress建站， Magento 建站，在网站上线后，都不可避免的会受到各种恶意软件来登录你的网站后台，是不是有些提心吊胆呢？

04

Rocket.Chat 远程命令执行漏洞分析

Rocket.Chat 是一个开源的完全可定制的通信平台，由 Javascript 开发，适用于具有高标准数据保护的组织。

02

关于Web验证的几种方法

验证（Authentication）是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。相比之下，授权（Authorization）是给定系统验证是否允许用户或设备在系统上执行某些任务的过程。简单地说：身份验证：你是谁？授权：你能做什么？身份验证先于授权。也就是说，用户必须先处于合法状态，然后才能根据其授权级别被授予对资源的访问权限。验证用户身份的最常见方法是用户名和密码的组合。用户通过身份验证后，系统将为他们分配不同的角色，例如管理员、主持人等，从而为他们授予一些特殊的系统权限。接下来，我们来看一下用于用户身份验证的各种方法。

03

六种Web身份验证方法比较和Flask示例代码

在本文中，我们将从Python Web开发人员的角度看处理Web身份验证的最常用方法。

04

密码管理和2FA管理软件

现在网络上各种网站服务非常多，每个人至少都有注册过几十上百个网站，账号密码的管理显得尤为重要，很多人为了便于记忆，多种账号采用相同的密码，这种做法非常不安全，因为一旦有一个平台的密码泄露，就很容易被撞库攻击。

00

基于Django的双因子认证实现

双因子简介对于网络信息系统来说，能否识别使用者的身份，是能否确保安全的基础和关键。在实际应用中,许多网络信息系统都会要求使用者在使用系统之前，提供一些相关信息用以实现对使用者的身份认证。双因子身份认证技术弥补了传统密码认证方法的很多弊端。可用于认证的因子可有三种:第一种因子最常见的就是口令等知识，第二种因子比如说是IC卡、令牌，USB Key等实物，第三种因子是指人的生物特征。所谓双因子认证就是必须使用上述三种认证因子的任意两者的组合才能通过认证的认证方法。双因子认证（2FA）是指结合密码以及实物（信

在非托管钱包中可能会出现价值3000万美元的BCH SIM 交换黑客攻击吗？

有传言称，在所谓的「SIM交换黑客攻击」事件中，一位中国人损失了价值约3000万美元的BCH。这一传言起源于Reddit上一篇现已被删除的帖子，该帖称受害者请求矿工帮助恢复其BCH的访问权限。受害者还说，他仍然拥有自己的私钥，并将酬谢那些能够帮助自己的矿工。

01

YubiKey使用教程

之前老看见有人讨论这个玩意，然后心血来潮收了10个优惠码（100收的），开了个车，买了5个5 NCF、5个5C NFC；加上我一共7个人，我就要了俩5，下面价格加上每个人平摊的转运费和码字钱大概是35元差不多，寄到他们手里在加上十几块快递费就是最终费用了。

02

如何在Ubuntu 14.04上使用双因素身份验证保护您的WordPress帐户登录

安全性是运行WordPress网站最重要的方面之一。我们中的许多人都倾向于认为黑客不会打扰我们的网站，但实际上，未经授权的登录尝试是在公共互联网上运行服务器的常见部分。

00

整理一下在 npmjs.com 上面发布资源包踩过的坑

在 npmjs.com 上面注册账号的时候需要填写邮箱，然后登录网址的时候并没有强制要求你去邮箱激活。

01

登录GitHub要求2FA了，安全且免费密保使用

从 2023 年 3 月开始到 2023 年底，GitHub 将逐渐开始要求在 GitHub.com 上贡献代码的所有用户启用一种或多种形式的双因素身份验证 (2FA)。如果你在符合条件的组中，当选择该组进行注册时，将收到一封通知电子邮件，该电子邮件标志着 45 天的 2FA 注册期的开始，并且你会看到要求你在 GitHub.com 上注册 2FA 的横幅。如果未收到通知，则表示你不是需要启用 2FA 的组的成员，但我们强烈建议启用 2FA。

00

冒充BBVA银行2FA应用程序，Android恶意软件“Revive”的深度伪装

日前，一款名为“Revive”的新型安卓银行恶意软件被发现，它模仿的是一款登录西班牙对外银行(BBVA)银行账户所需的2FA应用程序。该新型银行木马采用了一种更集中的方法针对西班牙对外银行(BBVA)，而不是试图危害多个金融机构的客户。虽然目前Revive还处于早期开发阶段，但它已经具备拦截双重身份验证 (2FA) 代码和一次性密码等高级功能。 Revive是由Cleafy的研究人员发现的，并以该恶意软件使用的一个同名功能命名，该功能被终止后会自动重启。根据研究人员的说法，新的恶意软件通过网络钓鱼攻击诱导用

02

不被PayPal待见的6个安全漏洞

在对 PayPal for Android (v. 7.16.1)的安卓APP分析中，我们发现PayPal对用户手机和邮箱的身份验证存在登录后的2FA认证漏洞。也就是说当攻击者以其它方式获取了受害者的密码凭据实施登录后，由于PayPal判定攻击者使用的手机设备或IP地址与之前受害者的不同，从而会发起一个2FA方式的身份验证，此时，PayPal会通过短信或邮箱发送一个验证码给当前登录的攻击者，只有正确输入该验证码，登录才能继续往下真正有效进入受害者账户。

03

创建现代npm包的最佳实践

技术一直在变化，我们的流程和做法也需要跟上这些变化。因此，虽然npm已经有12年的历史了，但围绕 npm 包创建的做法应该更现代。

01

3月13日起，GitHub要求所有贡献者进行双因素身份验证

来源：分布式实验室 GitHub 将要求，所有在该平台上为任何项目贡献代码的开发者进行双因素身份认证（2FA），此举旨在加强软件供应链安全。这个由微软拥有的代码托管平台在去年 5 月宣布，它打算在 2023 年底前强制推行 2FA。去年初的时候它已经开始对排名前 100 的软件包启动了该流程，随后在 11 月对其他 “高影响力” 的软件包也启动了该流程。现在，GitHub 已经确认将于 2023 年 3 月 13 日开始在全平台范围内执行，这一过程将在今年剩余时间内逐步向不同的开发者和项目管理员群体推出

02

salesforce零基础学习（一百零八）MFA

Salesforce Admin篇(四) Security 之Two-Factor Authentication & Single Sign On

01

只有付费才可使用？马斯克取消普通用户短信2FA保护

Bleeping Computer 网站披露， 3 月 20 日开始，不再支持普通用户基于短信的双因素身份验证（2FA）方式，只有购买 Twitter Blue 服务的订阅用户才能继续使用。从 Twitter 发布的安全报告来看，2021 年 7 月至 2021 年 12 月，只有 2.6% 的用户使用了双因素认证，在这些用户中，74.4% 使用的是 SMS 2FA，28.9% 使用验证器应用程序，0.5% 使用硬件安全密钥。马斯克支持此次验证变革短信验证带来的安全隐患已经持续了很久，埃隆·马斯克（

01

从加密到验证，全方位保障您应用的通讯安全

在一个完美的世界上，没有人需要用到密码。每个人都高度自律，心无邪念；每件快递都能不经拦截准确送达收件人；而每个寄件者都是值得信赖的。但是我们并不在这样完美的世界中生存。过去的数十年间，密码学已经发展到不仅可以通过加密来保障机密性，还可以确保消息的完整性、身份验证，以及不可否认性——所有的一切都是为了保证消息私密、真实和可靠。

01

FreeBuf 周报 | MyloBot 僵尸网络正快速蔓延；普京国情咨文发布遭遇网络攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！热点资讯 1. 只有付费才可使用？马斯克取消普通用户短信2FA保护 3 月 20 日开始，Twitter不再支持普通用户基于短信的双因素身份验证（2FA）方式，只有购买 Twitter Blue 服务的订阅用户才能继续使用。 2. 卡巴斯基称ChatGPT可用于恶意代码识别 2月15日，卡巴斯基在一项实验中，将ChatGPT 作为事件响应工

02

HackerOne的双因素认证和上报者黑名单绕过漏洞（$10,000）

大家好，今天我要和大家分享的是一个HackerOne相关的漏洞，利用该漏洞，我可以绕过HackerOne漏洞提交时的双因素认证机制（2FA）和赏金项目中（Bug Bounty Program）的上报者黑名单限制。该漏洞严重性最终被定级为中级，漏洞原因为授权不当（ Improper Authorization），赏金为$10,000美金。

01

超过 1200 个能够拦截在野外检测到的 2FA 的网络钓鱼工具包

一组学者表示，他们发现了 1,200 多个部署在野外的网络钓鱼工具包，这些工具包能够拦截并允许网络犯罪分子绕过双因素身份验证 (2FA) 安全代码。

03

GitHub：2023年底前所有用户账户需启用双因素身份验证

5月4日，代码托管平台GitHub 宣布了一项新的账户保护机制，所有上传代码的开发者及用户账户必须在2023年底前启用一种或多种形式的双因素身份验证 (2FA)。

01

前端食堂技术周刊第 37 期：Google I/O 2022、TS 4.7 RC、WinterCG 社区组成立、Lerna 复活

本期周刊视频版已在 B 站【前端食堂】同步发送，如果有喜欢看视频的堂友可以移步 B 站[2] 进行观看。

02

Strapi 实现用户注册与登录

在官方博客 Registration and Login (Authentication) with Vue.js and Strapi 中演示如何实现注册与登录。实际重点部分是 Strapi 的角色和权限插件，可以说这个插件让开发者不用再为项目考虑的用户登录注册与鉴权相关。

03

Steam热门游戏遭破解，玩家需警惕安全风险

近日，热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。

01

Ubuntu中安装strapi？

最灵活的内容管理系统(CMS)，无需关心数据库的复杂操作，让你专注与内容生产（支持Markdown），以及极其方便REST API接口。

04

一个程序的自我修养「GitHub 热点速览 v.22.19」

一个程序要诞生涉及前后端技术，比如，你可以用可视化网页搭建工具 tmagic-editor 完成前端部分，而后端部分的数据库以及数据处理可能就要用到 jsonhero-web 和 directus。知其然知其所以然，DDIA 则带你了解数据库设计背后的思考。更甚者，你对数据背后的验证有兴趣，你可以通过 adx 项目来了解数据通信。

02

美国国防承包商已被入侵，Pulse Secure 0day漏洞正被积极利用

研究人员表示，有国家背景的黑客正在积极利用Pulse Secure VPN的关键漏洞，以绕过2FA（双因素认证）保护，从而隐秘地进入属于美国国防工业和其他一系列组织的网络。

04

如何绕过Duo的双因素身份验证

通常，在执行渗透测试时，一般通过远程桌面协议（RDP）连接到系统。我通常使用rdesktop或xfreerdp连接到主机，一旦获得凭据就可以为所欲为了。我最近碰到一件很操蛋的事就是一个我的客户端使用Duo保护对Windows上的RDP的访问。特别是当3389是唯一打开端口，上次发生这种情况时，我在Pen Test Partners上找到了Alex Lomas的一篇文章，详细的介绍了用来绕过这种情况的方法。

04

业余草双因素认证（2FA）教程

所谓认证（authentication）就是确认用户的身份，是网站登录必不可少的步骤。密码是最常见的认证方法，但是不安全，容易泄露和冒充。

02

在 Linux 命令行中收发 Gmail 邮件

我喜欢在 Linux 终端上读写电子邮件的便捷，因此我是 Mutt 这个轻量简洁的电子邮件客户端的忠实用户。对于电子邮件服务来说，不同的系统配置和网络接入并不会造成什么影响。这个客户端通常隐藏在我 Linux 终端的某个标签页或者某个终端复用器的面板上，需要用的时候随时可以调出来，不需要使用的时候放到后台，就不需要在桌面上一直放置一个电子邮件客户端的应用程序。

02

Github 的双重验证为什么既能用1Password又能用Microsoft Authenticator

GitHub支持多种双重验证（2FA）方式，包括基于时间的一次性密码（TOTP）和基于推送通知的验证。

01

Laravel5.3之Two-Factor Authentication神器——Duo

说明：本文主要研究利用Duo来实现双重认证，Two-Factor Authentication就是除了username-password这种登录认证之外，还使用第二层安全认证，引用官网What is

03

Strapi 安装及使用腾讯云对象储存

COS_SecretId 和COS_SecretKey 在访问密钥内查看，没有自行创建一个

04

strapi (基于Nodejs的开源免费CMS框架)新手教程

因为接触到CRM的关系,最近接触到了strapi这个框架,仔细看了一下官网的介绍,感觉挺好的,比wordpress还要强大.于是决定尝试一番.

01

精选 Flexport 在 HackerOne 这一年 6 个有趣的安全漏洞

一年前，我们推出了在 HackerOne 上的赏金计划，以提高 Flexport 的安全性。 HackerOne 让我们为业余爱好者和专业渗透测试人员提供赏金来鼓励他们发现漏洞。于是，我们收到了近

08

Selenium自动化应该避免的测试场景

Selenium是一个非常流行的Web自动化测试框架，如今Selenium自动化的需求量很大。但是在测试中并不总是建议使用Selenium测试所有的测试场景。作为Web自动化工具，Selenium主要旨在测试不同的Web应用程序在不同浏览器上执行的正确性，但自动化一切是不合理的。

02

使用 strapi 快速构建 API 和 CMS 管理系统

作为一个合格的前端工程师，怎么能够不懂得自己写后端接口呢？会自己写后端API接口，能够在工作当中有效的提供工作竞争力，还能够帮我有效的提高工作效率。有的同学说，我会 Node.js，确实使用 Node.js 帮助前端工程师晋升为全栈。

03

10万 npm 用户账号信息被窃、日志中保存明文密码，GitHub安全问题何时休？

5 月 26 日，GitHub 披露了 4 月中旬一次安全漏洞的更多调查细节，描述了攻击者如何抓取包括大约 10 万个 npm 用户的详细登录信息。同时，这也显示了在将 JavaScript 包注册中心整合到 GitHub 的日志系统后，GitHub 在内部日志中存储了 “npm 注册中心的一些明文用户凭证”。

02

Strapi内容备份导出转移插件安装教程：Import/Export Entries （导出与备份插件）

地址：https://market.strapi.io/plugins/strapi-plugin-import-export-entries

03

WinAuth 在Windows上运行的2FA双因素认证器

2FA 的全程是 Two-Factor Authentication，是一种独立于账户密码的验证程序。为了提高账户安全性，2FA 的运用其实相当普遍，像是早些年流行的密保卡和银行的动态口令都属于 2FA 的一种。不过我们今天要提到的，是更加通用化的双因素认证器，例如 Google Authenticator 和 Microsoft Authenticator。

01

登录GitHub要求2FA了，你想了解的免费解决办法

笔者近期收到了GitHub官方的通知邮件，要求用户启用双因素身份验证（2FA）。

06

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭