Google Authenticator 服务器端实现

NodeJS：

https://github.com/guyht/notp 简洁无依赖，需要thirty-two和二维码生成工具配合

https://github.com/speakeasyjs/speakeasy

手机App：

Google Authenticator

http://otp.aliyun.com/ 阿里 风云令

等等

原理简介：

1 服务器端生成一个字符串secret，手机App端扫码获得该字符串secret。

2 手机App端利用约定好的现有算法，根据当前时间time，用sha(secret+time)生成新字符串token,截取token并转换为六位数的十进制数字num。

3 服务器端做同样的操作，生成num

4 手机App端的num和服务器端的num比对，相同则认为验证成功，不同则验证失败。

实际中，num变化不能太频繁，用time/30生成token，即三十秒变化一次即可；

而且要有容错性，服务器端要生成前后几分钟的多个num（一般为两分钟，4个），来和手机App的num比对，只要有一个匹配，就认为成功，

减小因为设备间的时间误差，造成验证失败的概率。