跳到主要内容

TOTP 验证码生成器:从 Base32 密钥实时算两步验证码

粘贴 Base32 密钥,实时算出 6 位动态码,带 30 秒倒计时和下一个码,可调 SHA1/256/512,全程浏览器本地,RFC 6238

  • 本地处理
  • 分类 开发运维
  • 适合 格式化、校验、压缩或检查和代码相关的文本。
纯本地运算,密钥不离开本标签页,也不写进网址。即便如此,别粘真实的生产密钥,用一个测试密钥。
把这些调成和发行方一致(二维码背后的 otpauth 链接),否则码会错。
当前验证码
------
6 秒后刷新下一个码: ------

这个工具能做什么

免费在线 TOTP 两步验证码生成器。把 Base32 密钥粘进来(就是开启 两步验证时网站在二维码旁给你的那串字符),工具会算出当前 6 位 动态口令、当前 30 秒窗口还剩几秒,以及下一个码。它跑的就是 Google Authenticator、Authy、1Password 在用的同一套算法,RFC 6238,以 HMAC-SHA1 对取整后的 Unix 时间计数器做哈希,全部通过 浏览器原生 WebCrypto 的 crypto.subtle 在本地计算。不上传、不记录, 密钥也绝不写进可分享的网址里。 用它在信任手机之前,先核对刚扫的密钥算出的码和手机一致,或在手机 没电时临时登录,又或排查两步验证接入时验证码老是被拒的问题。算法、 位数和周期都能调,所以除了默认的 6 位 SHA-1,8 位或 SHA-256 的 配置也能对上。生产环境的密钥请放在专门的设备上,这个页面用于测试 和应急,不要拿来存放正在用的密钥。

工具细节

输入
数值
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
可分享链接状态
关键设置会进入 URL,复制链接后别人能复现同一组参数。
性能预算
首屏 JS ≤ 9 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
开发运维 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

TOTP 验证码生成器 适合怎么用

适合穿插在写代码、查问题、做 Review、上线前的小任务里。

适合开发场景

  • 格式化、校验、压缩或检查和代码相关的文本。
  • 把片段整理好再放进文档、工单、提交或交接材料。
  • 不切换工具,快速检查一个小 payload。

开发检查项

  • 压缩、混淆这类不可逆处理,先对副本操作。
  • 除非确认工具本地处理,不要粘贴密钥和敏感片段。
  • 转换后的代码上线前,仍要跑自己的测试或 lint。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 HMAC 生成器 HMAC-SHA1/256/384/512:消息 + 密钥,输出 hex 与 base64,密钥可按 UTF-8/hex/base64 解读,100% 浏览器本地 打开
  2. 2 JWT 解码器 解码 JWT 的 Header / Payload / Signature,看声明、查过期、复制字段,全程浏览器本地 打开
  3. 3 Bcrypt 生成器 bcrypt 密码哈希生成 + 校验:选轮数,浏览器内 hash 与对比。 打开

真实使用场景

  • 信任刚扫的密钥前先核对一遍

    你刚在某网站开了两步验证,它同时给了二维码和一串 Base32。在你点 "我已保存验证码"之前,把那串粘到这里,看实时 6 位码和验证器 App 在同一秒显示的是否一致。如果一起跳动,就说明密钥转移正确, 下次登录不会把自己锁在门外。

  • 手机没电或丢了也能登录

    你的验证器在一台没电的手机上,但你把 Base32 备份密钥存在了密码 管理器里。在一台你信得过的电脑上把它粘到这里,读出当前的码进 账号,然后立刻把两步验证重置到一台能用的设备。这正是二维码本来 就支持的应急通道,只是手边没有那台手机而已。

  • 排查老是拒码的两步验证接入

    你正在后端接 TOTP,服务器把测试手机产生的每个码都拒了。把共享 密钥粘到这里,把位数和算法调成和你的库配置一致,再把这里的码、 计数器和剩余秒数和你代码算出的对照。对不上几乎都能归到时钟偏差、 周期填错,或密钥按错误的编码解码这几种原因。

  • 讲清楚时间动态口令怎么工作

    在安全课或新人文档里讲两步验证,有个实时演示会好懂很多。把一个 固定的测试密钥放上屏幕,演示码每 30 秒重新生成,把位数从 6 切到 8,再把算法换成 SHA-256,让学员看到参数如何改变输出。倒计时条把 时间窗口这个概念讲得很具体。

常见踩坑

  • 手敲密钥时把 O 打成 0、把 I 打成 1。Base32 里没有 0、1、8、9,这种笔误要么报 Base32 非法,要么更糟,得到一个合法但错误的密钥,算出的码手机永远对不上。直接从设置页面复制那串字符。

  • 网站实际用 8 位或 SHA-256,你却把位数留在 6、算法留在 SHA-1。参数必须和发行方完全一致,否则密钥对了码也会错。看二维码背后那个 otpauth 链接里的 digits、period、algorithm 字段。

  • 把真实的生产密钥粘到网页里。哪怕是纯本地的工具,也跑在浏览器里,扩展程序和旁人都可能看到。这里用一个临时测试密钥,正在用的两步验证密钥留在专门的验证器 App 或硬件密钥里。

隐私说明

每一步都在你的浏览器标签页里运行:Base32 解码、通过原生 WebCrypto 对时间计数器做 HMAC-SHA1、截断取位数、以及倒计时。密钥和算出的码都 不离开页面,不上传,也不记录。密钥被刻意排除在可分享网址之外,只有 不敏感的位数、周期和算法选项会写进链接,所以分享出去的网址绝不会泄 露你的密钥。即便如此,对正在用的密钥也要把任何浏览器都当成不可信: 这里用临时测试密钥,生产环境的两步验证密钥放在专门的验证器里。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

看这个职业的全部工具
Made by Toolora · 100% client-side · Updated 2026-06-14