处理TOTP实现(PHP或JavaScript)

Question

我在我的一个应用程序中实现了2FA (TOTP方法)。在服务器端(PHP)处理秘密密钥生成和TOTP代码验证。在某些情况下，我的应用程序不接受由TOTP应用程序(我的情况下的Google身份验证器)生成的TOTP代码。我知道这是因为时差。我希望有一种方式来支持来自不同时区的用户。

目前的执行行为：

案例1(工作完美)：

• 服务器默认时区设置为“Asia/Kolkata”
• 印度用户启用TOTP
• 用户总是从印度登录

案例2(登录失败)：

• 服务器默认时区设置为“Asia/Kolkata”
• 从印度启用TOTP的用户
• 从不同的时区登录

案例3(登录失败)：

• 服务器默认时区设置为“Asia/Kolkata”
• 从不同时间区域启用TOTP的用户
• 来自不同时区的用户登录

如何将TOTP集成到一个应用程序中，以支持来自不同时区的用户？

从客户端(JS)生成秘密和验证是最佳实践？

Answer 1

您应该始终使用UTC作为Timezone。这是最简单的方法。