2FA TOTP 验证码生成器

Secret 复制时带空格，Base32 未清洗

失败输入：把文档里的 `JBSW Y3DP EHPK 3PXP` 原样粘贴，包含空格与格式噪声。

失败表现：生成验证码与认证器不一致，团队误以为后端验签逻辑有问题。

修复：先把 secret 归一化为干净 Base32（去隐藏空白），再做验证码对比。

排查 MFA 时忽略时钟偏移

失败输入：客户端本机时间未同步，却直接与线上 NTP 同步服务对比验证码。

失败表现：正确 secret 也会表现为“验证码总是错”，误导排障方向。

修复：先校准客户端与服务端时间，再按当前/相邻时间窗验证。

时钟漂移导致持续校验失败

失败输入：客户端与服务端时间偏差超过一个时间步长。

失败表现：用户输入看似正确验证码却反复失败。

修复：允许小范围容差并持续监控 NTP 健康。

明文存储 TOTP 密钥

失败输入：数据库直接保存原始密钥。

失败表现：一旦泄露可被批量伪造动态码。

修复：密钥静态加密并限制解密链路。

无限次验证码重试

失败输入：校验接口无频率限制。

失败表现：暴力尝试成功概率上升。

修复：增加账号与 IP 双维度限流和锁定策略。

联调真实 MFA 失败链路（前端 + 后端）

建议选：明确 secret、period、digits 并结合日志时间戳做窗口比对。

谨慎用：不要在默认参数不明确、时间未校准的情况下下结论。

设计生产环境 2FA 开通流程

建议选：优先 `otpauth://` + 二维码引导，原始 secret 仅用于受控恢复场景。

谨慎用：避免把原始 secret 暴露在常规流程里，降低截图与剪贴板泄露风险。

将 TOTP 升级为强制二次验证

建议选：密钥分发、时间同步与恢复机制一起设计。

谨慎用：避免无时钟漂移兜底就直接强制开启。

真实用户账号安全体系

建议选：独立密钥 + 加密存储 + 限流校验。

谨慎用：避免共享密钥和无限重试。

短期隔离演示环境

建议选：可简化配置但需明确一次性范围。

谨慎用：避免把演示捷径带入生产认证。