无需同步，即开即用！用莱卡云搭建一个在线二步验证器 ——2FAuth ｜谷歌验证器（Google Authenticator）替代品

1. 前言

这期我们来聊一聊二步验证。

双重认证 Two-factor authentication，缩写为 2FA，又称为双重验证、双因子认证、双因素认证，也有叫两步验证 2-Step Verification，是多重要素验证中的一个特例，使用两种不同的元素，基于时间随机生成一串验证码用于和服务器验证的技术，来确认用户的身份。（类似之前网易的将军令和银行的电子令牌）

强烈建议每个人都用二步验证！

二步验证可以大大降低网络钓鱼攻击的成功率，减少盗号风险，即使我们的密码因为各种原因泄露了，由于黑客没有第二个验证因素，他们仍然无法访问我们的账户。

尽管二步验证不能提供 100% 的安全保障，但与单一密码相比，它显著增强了账户的安全性。

市面上有非常多的免费的两步验证工具，每一个工具大体上都差不多，但是也有一些区别。有一些人在选择双重验证工具时，可能比较看重安全性，认为那些带同步的双重验证软件有泄露的风险；有一些比较看重多设备同步，因为一旦手机丢失或者损坏，两步验证工具无法恢复数据将带来灾难性的后果。

如果你不想搭建，可以使用市面上的成熟产品，比如 Google Authenticator 或者 authy，安卓可以使用 Aegis

下面介绍一下咕咕使用过的这几个软件的特点：

• Google Authenticator，谷歌出品，有 Android 与 iOS 客户端，支持云同步（但是不建议打开，有泄漏的风险）
• Aegis，免费开源的二次验证（2FA）应用，可以导入导出，加密，自定义图标，夜间主题，选中高亮，没有云同步功能，且仅限安卓使用。（强烈推荐）
• Authy，适用于 Android 和 iOS 移动设备以及 Windows，Apple Watch，桌面程序等全平台，也支持登陆账号，比较不错；缺点是不支持导出。
• Microsoft authenticator 不推荐使用，非常坑。

咕咕目前使用的方式，主要用 Google Authenticator（不开启同步功能），然后在家里的 pixel 手机上装了 Aegis，备份一份。

今天我们来介绍自建 2FA，把我们的 2FA 账户存储在我们自己的独立数据库中，可以轻松备份和恢复（再也不用担心手机丢失而导致所有 2FA 账户都无法访问的情况了……）

2. 项目展示

直接丢几个图：

主界面

3. 相关地址

2fa GitHub 仓库：https://2fa.org/
2fa 官方文档：https://docs.2fauth.app/
官方 demo：https://demo.2fauth.app

4. 搭建环境

• 服务器：咕咕这边用的是莱卡云的 CN2 GIA 的机器

莱卡云双十一打折活动火热进行中，

莱卡云双十一活动，2 核 4G 的香港服务器每个月仅售 11.11 元，每人限购一台，续费同价！

另有新客专享云服务器套餐，续费同价。

详情查看：https://www.lcayun.com/actcloud.html

当然你也可以用腾讯轻量应用服务器 ，（最好选 非大陆的，而且线路还不错的机器）如果是小白刚开始玩的话，也可以选择 Racknerd 的高性价比服务器（注意地区选美国西部城市的）

• 系统：Debian 11 （DD 脚本 非必需 DD，用原来的系统也 OK，之后教程都是用 Debian 或者 Ubuntu 搭建～）
• 安装好 Docker、Docker-compose（相关脚本）
• 【非必需但建议】域名一枚，并做好解析到服务器上（域名购买、域名解析 视频教程）
• 【非必需】提前安装好宝塔面板海外版本 aapanel，并安装好 Nginx（安装地址）
• 【非必需本教程选用】安装好 Nginx Proxy Manager（相关教程）

服务器建议：1C1G，能搭建 docker 即可

5. 搭建视频

5.1 YouTube

视频地址：https://youtu.be/tCjBUefV_Go

5.2 哔哩哔哩

哔哩哔哩：https://www.bilibili.com/video/BV1Xw411s7Lz/

6. 搭建方式

如果你不是用的腾讯云的轻量应用服务器，可以直接跳到 6.1 部分。

安装系统（腾讯云轻量应用服务器）

腾讯云轻量服务器最大的特点就是 “轻量”，相比 CVM，更适合小白上手，这边我们之间选择 Docker 基础镜像，就可以省去后面安装 Docker 的步骤（如果你非要用国内的服务器，这边装的 Docker 镜像还会帮你配置好国内镜像源，让你加速访问 docker 镜像资源）不建议用国内的 。

登陆（腾讯云轻量应用服务器）

6.1 安装 Docker 与 Nginx Proxy Manager

可以直接参考这篇内容：

https://blog.laoda.de/archives/nginxproxymanager/

6.2 创建安装目录

创建一下安装的目录：

sudo -i

mkdir -p /root/data/docker_data/2fa

cd /root/data/docker_data/2fa

mkdir data

#修改目录所有者和权限
chown 1000:1000 data 
chmod 700 data

cd /root/data/docker_data/2fa
vim docker-compose.yml

英文输入法下，按 i

原版内容，环境变量非常多，还有 smtp 服务：

version: "3"
services:
  2fauth:
    image: 2fauth/2fauth
    container_name: 2fauth
    volumes:
      - ./2fauth:/2fauth
    ports:
      - 8000:8000/tcp
    environment:
      # 你可以更改应用程序的名称
      - APP_NAME=2FAuth
      # 你可以将其保留为“local”。如果你将其更改为“production”，大多数控制台命令将要求额外确认。
      # 永远不要将其设置为“testing”。
      - APP_ENV=local
      # 如果你想在错误屏幕中看到调试信息，请将此设为true。
      - APP_DEBUG=false
      # 这应该是你的电子邮件地址
      - [email protected]
      # 加密键用于你的数据库和会话。请确保这个非常安全。
      # 如果你生成了一个新的，所有现有的数据必须被视为丢失。
      # 将其更改为一个确切的32个字符的字符串，或使用命令`php artisan key:generate`来生成它
      - APP_KEY=SomeRandomStringOf32CharsExactly
      # 这个变量必须与你安装的外部地址匹配，但请记住，
      # 它只在命令行中使用作为回退值。
      - APP_URL=http://localhost
      # 如果你想让你的应用程序像演示一样反应，可以将此设置为true。
      # 演示模式每小时重置应用程序内容，并设置一个通用的演示用户。
      - IS_DEMO_APP=false
      # 日志通道定义了你的日志条目去哪里。
      # “daily”是默认的日志模式，为你提供在/storage/logs/下的5个日轮换日志文件。
      # 还存在多个其他选项。你可以使用“single”来获取一个很大的错误日志（不推荐）。
      # 还可以使用'syslog'、'errorlog'和'stdout'，它们会记录到系统本身。
      - LOG_CHANNEL=daily
      # 日志级别。你可以从最不严重到最严重设置：
      # debug, info, notice, warning, error, critical, alert, emergency
      # 如果设置为debug，你的日志会很快变大。如果设置为emergency，可能
      # 永远不会记录任何东西。
      - LOG_LEVEL=notice
      # 数据库配置（只能是sqlite）
      - DB_DATABASE="/srv/database/database.sqlite"
      # 如果你正在寻找性能改进，你可以安装memcached。
      - CACHE_DRIVER=file
      - SESSION_DRIVER=file
      # 邮件设置
      # 参考你的电子邮件提供商文档来配置你的邮件设置
      # 为每个可用的设置设置一个值以避免问题
      - MAIL_DRIVER=log
      - MAIL_HOST=smtp.mailtrap.io
      - MAIL_PORT=2525
      - [email protected]
      - MAIL_USERNAME=null
      - MAIL_PASSWORD=null
      - MAIL_ENCRYPTION=null
      - MAIL_FROM_NAME=null
      - MAIL_FROM_ADDRESS=null
      # 认证设置
      # 默认的认证守护
      # 支持：
      #   'web-guard' : Laravel内置的auth系统（如果为null则为默认）
      #   'reverse-proxy-guard' : 当2FAuth部署在处理认证的反向代理后面时
      # 警告
      # 使用'reverse-proxy-guard'时，2FAuth只查找专用的头部信息并跳过所有其他内置的
      # 认证检查。这意味着你的代理完全负责认证过程，只要头部信息存在，2FAuth就
      # 会信任它。
      - AUTHENTICATION_GUARD=web-guard

这种应用，不用搞这么复杂，以下是咕咕修改的：

version: "3"
services:
  2fauth:
    image: 2fauth/2fauth
    container_name: 2fauth
    volumes:
      - ./data:/2fauth
    ports:
      - 8120:8000/tcp
    environment:
      - APP_NAME=2FAuth
      - APP_KEY=SomeRandomStringOf32CharsExactly
      - APP_URL=https://2fa.gugu.ovh
      - IS_DEMO_APP=false
      - LOG_CHANNEL=daily
      - LOG_LEVEL=notice
      - DB_DATABASE="/srv/database/database.sqlite"
      - CACHE_DRIVER=file
      - SESSION_DRIVER=file
      - AUTHENTICATION_GUARD=web-guard

切换成英文输入法，修改好之后，按一下 esc，然后 :wq 保存退出。

6.3 打开服务器防火墙（非必需）并访问网页

打开防火墙的端口 8120

举例，腾讯云打开方法如下（部分服务商没有自带的面板防火墙，就不用这步操作了）：

类似图中的，这边我们填 8120，示例填 2fa ，确定即可（如果你在 docker-compose 文件里换了 9009，这边就需要填 9009，以此类推）

查看端口是否被占用（以 8120 为例），输入：

lsof -i:8120  #查看 8120 端口是否被占用，如果被占用，重新自定义一个端口

如果啥也没出现，表示端口未被占用，我们可以继续下面的操作了～

如果出现：

-bash: lsof: command not found

运行：

apt install lsof  #安装 lsof

如果端口没有被占用（被占用了就修改一下端口，比如改成 8381，注意 docker 命令行里和防火墙都要改）

理论上我们就可以输入 http://ip:8120 访问了。

但是这边我们必须先搞一下反向代理！

做反向代理前，你需要一个域名！

namesilo 上面 xyz 后缀的域名一年就 7 块钱，可以年抛。（冷知识，namesilo 上 6 位数字的 xyz 续费永远都是 0.99 美元 = =）

如果想要长期使用，还是建议买 com 后缀的域名，更加正规一些，可以输入 laodade 来获得 1 美元的优惠（不知道现在还有没有）

namesilo 自带隐私保护，咕咕一直在用这家，价格也是这些注册商里面比较低的，关键是他家不像其他家域名注册商，没有七七八八的套路！（就是后台界面有些丑古老 = =）

【域名购买】Namesilo 优惠码和域名解析教程（附带服务器购买推荐和注意事项）

我们接着往下看！

7. 反向代理

7.1 利用 Nginx Proxy Manager

在添加反向代理之前，确保你已经完成了域名解析，不会的可以看这个：域名一枚，并做好解析到服务器上（域名购买、域名解析 视频教程）

之后，登陆 Nginx Proxy Manager（不会的看这个：安装 Nginx Proxy Manager（相关教程））

注意：

Nginx Proxy Manager（以下简称 NPM）会用到 80、443 端口，所以本机不能占用（比如原来就有 Nginx）

这边以 2fa 为例子，element 也是一样操作即可。

直接丢几张图：

注意填写对应的 域名、IP 和 端口，按文章来的话，应该是 8120

IP 填写：

如果 Nginx Proxy Manager 和 2fa 在同一台服务器上，可以在终端输入：

ip addr show docker0

查看对应的 Docker 容器内部 IP。

否则直接填 2fa 所在的服务器 IP 就行。

7.2 利用宝塔面板

发现还是有不少小伙伴习惯用宝塔面板，这边也贴一个宝塔面板的反代配置：

直接新建一个站点，不要数据库，不要 php，纯静态即可。

然后打开下面的配置，修改 Nginx 的配置。

代码如下：

location / {
  proxy_pass http://127.0.0.1:8120/;       # 注意改成你实际使用的端口
  rewrite ^/(.*)$ /$1 break;
  proxy_redirect off;
  proxy_set_header Host $host;
  proxy_set_header X-Forwarded-Proto $scheme;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header Upgrade-Insecure-Requests 1;
  proxy_set_header X-Forwarded-Proto https;
}

此方法对 90% 的反向代理都能生效，然后就可以用域名来安装访问了。

有同学可能会问，为什么不直接用宝塔自带的反向代理功能。

也可以，不过咕咕自己之前遇到过当有多个网站需要反代的时候，在这边设置会报错的情况 = =

所以后来就不用了，直接用上面的方法来操作了。

8. 使用教程

建议参考视频，或者自己尝试一下。

8.1 更新 2fa

cd /root/data/docker_data/2fa

docker-compose pull

docker-compose up -d    # 请不要使用 docker-compose stop 来停止容器，因为这么做需要额外的时间等待容器停止；docker-compose up -d 直接升级容器时会自动停止并立刻重建新的容器，完全没有必要浪费那些时间。

docker image prune  # prune 命令用来删除不再使用的 docker 对象。删除所有未被 tag 标记和未被容器使用的镜像

提示：

WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N] 

输入 y

利用 Docker 搭建的应用，更新非常容易～

8.2 卸载 2fa

同样进入安装页面，先停止所有容器。

cd /root/data/docker_data/2fa

docker-compose down

cd ..

rm -rf /root/data/docker_data/2fa  # 完全删除

可以卸载得很干净。

9. 常见问题及注意点

9.1 关闭注册

9.2 数据库加密

存储在数据库中的敏感数据（2FA 秘钥和 otpauth URI）可以进行加密，以保护它们免受数据库被攻破的风险。

在 2FAuth 的设置 > 选项部分中勾选 “保护敏感数据” 选项，启用加密功能。

加密适用于所有用户的数据。

警告
强烈建议在启用加密时备份.env 文件中定义的 APP_KEY 值（或整个文件）。
如果丢失此密钥，则无法生成一次性密码。
如果遗失了该密钥，则没有任何解决办法。

10. 结尾

祝大家用得开心，有问题可以去 GitHub 提 Issues，也可以在评论区互相交流探讨。

同时，有能力给项目做贡献的同学，也欢迎积极加入到 项目 中来，贡献自己的一份力量！

最后，感谢开发人员们的辛苦付出，让我们能用到这么优秀的项目！

参考资料

https://github.com/Bubka/2FAuth