X-TOTP 双因素令牌保险柜
产品简介
X-TOTP 是 XAPI 提供的企业级 TOTP(基于时间的一次性密码)托管服务,帮助团队集中管理所有双因素认证密钥。所有密钥都会使用用户级主密钥加密存储,前端提供拖拽上传二维码、自动识别 otpauth:// 链接、实时倒计时刷新等体验,让团队在任何浏览器中即可完成令牌管理。
快速体验
- 访问 https://totp.xabcstack.com,使用
sk-前缀的 XAPI 私有密钥登录。 - 点击“添加令牌”,可选择手动输入密钥或上传二维码图片。
- 创建成功后,令牌卡片会显示六位验证码与剩余时间进度环,并支持一键复制。
- 可在右上角导出 JSON 备份,或通过“导入”按钮将旧平台导出的令牌迁移进来。
核心能力
- 主密钥加密:每个账户拥有独立的加密密钥,密钥导出时依旧保持加密格式,适合离线保存。
- 二维码识别:支持拖拽/点击上传二维码图片,自动解析发行方、账号、密钥信息。
- 批量导入导出:
GET /x-totp/export、POST /x-totp/import让跨平台迁移毫无压力。 - 实时倒计时:无需轮询服务端,前端倒计时与后端同步刷新,低带宽环境仍然稳定。
- 事件驱动清理:当用户在 XAPI 控制台中被停用或删除时,其令牌自动清理,保证合规。
API 参考
| 方法 | 路径 | 说明 |
|---|---|---|
GET | /x-totp | 列出当前账户全部令牌,附带实时验证码与剩余秒数 |
POST | /x-totp | 创建令牌,参数包含 name 与 secret(BASE32 编码) |
DELETE | /x-totp/{id} | 删除指定令牌 |
GET | /x-totp/export | 导出全部令牌的加密备份 JSON |
POST | /x-totp/import | 从导出文件批量导入令牌 |
所有接口均需携带
Authorization: Bearer <sk-...>请求头。
示例:创建并备份令牌
export XAPI_KEY="你的XAPI-KEY" # sk- 开头的密钥
# 创建一个新的 TOTP 令牌
curl -X POST https://api.xabcstack.com/x-totp \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $XAPI_KEY" \
-d '{
"name": "GitHub (team-bot)",
"secret": "JBSWY3DPEHPK3PXP"
}'
# 备份所有令牌到本地文件
curl -X GET https://api.xabcstack.com/x-totp/export \
-H "Authorization: Bearer $XAPI_KEY" \
-o totp-backup.json
常见问题
- 是否支持团队协作? 目前每个 XAPI 账户拥有独立的令牌仓库,可通过在内部系统中共享
sk-密钥或对接企业内部权限系统实现协作。 - 导入其他 Authenticator 的数据需要调整吗? 常规的
otpauth://链接或包含name、secret字段的 JSON 均可直接导入,无需额外转换。 - 如何保证密钥安全? 服务端永远只保存加密后的密钥,导出文件同样保留加密字段,可离线存放在密码管理器或保险柜中。