TOTP 与密码器
TOTP 是随时间变化的一次性验证码。在 fn-knock 中,它既可以作为主登录方式,也可以作为 Passkey 和外部账号登录的身份锚点。
绑定一个凭据
- 打开
认证配置,新增 TOTP 凭据。 - 用可信的身份验证器扫描二维码,或手动输入密钥。
- 输入当前验证码完成校验,并为凭据填写可识别的名称。
- 再绑定第二个独立设备或离线备份方案。
不要只保留一个手机上的单一 TOTP。设备丢失、系统重装或时间异常都可能导致无法登录。
服务范围
TOTP 凭据可限制可访问的子域。该限制会同时作用于关联的 Passkey 和 OIDC 外部账号。将个人、家人、自动化和管理用途拆成不同凭据,权限边界更清楚,也便于在不影响其他人时撤销一个凭据。
时间不同步
验证码连续错误时,先确认手机和服务器的日期、时区、自动校时是否正常。不要反复重试到触发登录退避。服务器时间异常应在宿主机上修复;Docker 不支持由 fn-knock 直接校时,OpenWrt 则应先确认路由器自身的 NTP 与当前权限。
导入与导出
TOTP 导出会包含能够生成验证码的 secret。导出文件和二维码都等同于登录凭据,应使用加密存储并避免截图、公开分享或上传到云端笔记。
