两步验证(MFA)设置指南

HuashanMuscle随访系统使用两步验证保护您的账户安全。
本指南将帮助您了解并设置多因素身份验证。

返回登录页面 华山随访系统
请使用手机浏览器(如 Chrome / Safari)打开系统,不要在微信内打开。 微信内置浏览器过于古老,不支持通行密钥等验证方式,可能导致登录失败。

什么是两步验证

登录时除输入密码外,还需提供第二种身份凭证。类似银行卡取款 -- 既需要卡片(密码),也需要输入PIN码(验证码)。

为什么需要

随访系统涉及患者隐私和医疗数据。两步验证能有效防止密码泄露后的未授权访问,是保障数据安全的重要措施。

什么是单点登录

本系统使用 Authentik 统一身份认证。您只需一个账号即可登录随访系统、Teable数据库、Paperless档案柜等所有关联服务,无需为每个系统单独注册。

设置步骤

1
进入设置
2
选择方式
3
按提示操作
4
保存恢复码
5
测试登录

进入 Authentik 设置页面

登录后,在 Authentik 页面右上角找到齿轮图标进入账号设置。

Authentik 设置页面截图
路径:右上角齿轮图标 > MFA 设备 > 注册

如果您已经登录了随访系统,可以直接访问 Authentik 设置页面来添加新的验证设备。同一账号可以同时绑定多种验证方式。

选择验证方式

在注册页面中,选择您想要设置的验证方式。建议按优先级设置:

推荐优先级:通行密钥(WebAuthn) > TOTP验证器 > 邮箱验证码

可以设置多种方式作为备选。登录时系统会记住您上次使用的验证方式并优先展示。

按提示完成绑定

根据所选验证方式,系统会引导您完成相应的设置:

  • 通行密钥:浏览器弹出验证提示,使用指纹/面部/PIN完成
  • TOTP:用验证器应用扫描二维码,输入生成的验证码确认
  • 邮箱:系统默认已开启,一般无需额外配置

保存恢复密钥

强烈建议在完成验证方式设置后,额外注册一组恢复密钥。这是您在丢失手机或无法使用其他验证方式时的唯一补救手段。

恢复码只显示一次。请立即复制到密码管理器打印存放在安全位置。不要仅截图保存在手机中。

测试登录

设置完成后,建议退出登录重新测试,确认两步验证正常工作。

  • 输入用户名和密码后,系统会要求您完成第二步验证
  • 如果绑定了多种方式,可以点击切换到其他验证方式
  • 系统会记住上次使用的方式,下次自动优先展示
设置完成。如遇到问题,请查看下方常见问题,或联系系统管理员。

四种验证方式

默认开启

系统向您的注册邮箱发送一次性验证码,您在登录页面输入该验证码完成身份验证。这是最基础的验证方式,所有用户默认可用。

  1. 输入用户名和密码,点击登录
  2. 系统自动向注册邮箱发送6位数验证码
  3. 打开邮箱,找到来自 Authentik 的验证邮件
  4. 在登录页面输入验证码,完成登录
无需安装任何应用,开箱即用
所有设备通用
依赖网络和邮箱服务可用性
验证码到达可能有延迟
传统身份验证器
验证器应用模拟 -- 了解动态验证码如何工作
------
30
工作原理:验证器根据当前时间和一个共享密钥,通过算法生成6位数字。服务器用相同的算法独立计算,两者匹配即验证通过。验证码每30秒更新一次。即使手机断网,只要时间准确就能生成有效验证码。

基于时间的一次性密码(TOTP)。验证器应用根据时间和密钥实时生成6位验证码,每30秒更换一次。设备无需联网即可生成有效验证码。

TOTP 验证器示意图
绑定流程(以腾讯身份验证器小程序为例)
1
注册 TOTP Device
在 Authentik 的 MFA设备 页面,点击「注册」选择「TOTP Device」
2
扫描二维码
页面显示二维码。打开微信搜索「腾讯身份验证器」小程序,点击「+」添加令牌并扫码
3
输入动态验证码
小程序显示6位动态验证码(30秒更新),将验证码输入 Authentik 页面的 Code 输入框,点击 Continue
绑定成功
下次登录时,打开小程序查看当前验证码并输入即可。验证码有效进度条显示剩余时间
应用 推荐 云备份 离线可用 下载
腾讯身份验证器 首选 -- 支持 微信搜索小程序
Microsoft Authenticator 推荐 支持 支持 iOS Android
Google Authenticator 可用 支持 支持 iOS Android
无需网络,离线可用
生成速度快,无等待
更换手机需重新绑定
手机时间不同步可能失败
推荐使用

通行密钥(Passkey)基于指纹或面部识别进行身份验证,是目前最安全且最便捷的验证方式。Windows Hello、Apple Face ID/Touch ID、Android 设备均支持。通行密钥按设备识别 -- 已绑定手机的指纹不能用于电脑登录,每个设备需单独注册。

WebAuthn 通行密钥注册示例
注册流程
1
注册 WebAuthn Device
在 Authentik 的 MFA设备 页面,点击「注册」选择「WebAuthn Device」
2
系统弹出验证提示
浏览器弹出「Windows Security」或系统验证窗口,提供指纹(Fingerprint)、面部(Face)、PIN 等选项
3
完成生物识别
按提示放置手指或面部识别。验证成功后,弹窗显示「Passkey saved」
绑定成功
此设备已绑定通行密钥。下次在此设备登录时,只需指纹/面部/PIN即可完成验证
Windows

使用 Windows Hello 的指纹、面部识别或PIN码。确保在系统设置中已启用 Windows Hello。

Apple 设备

使用 Touch ID 或 Face ID。系统会提示开启 iCloud 钥匙串以在多设备间同步通行密钥。

国产安卓手机

在手机「设置」中搜索「通行密钥」并开启。部分品牌可能在「安全」或「密码管理」中。

安全密钥

支持 YubiKey 等 FIDO2 硬件安全密钥,插入USB后按触即可完成验证。

最便捷:指纹/面部一触即过
最安全:无法被钓鱼或截获
需要设备支持生物识别
微信内置浏览器不支持
应急备用

一组一次性恢复代码,在其他验证方式均不可用时作为最后手段。每个代码只能使用一次,用完即失效。请在设置时立即保存这些代码。

Static \u6062\u590d\u5bc6\u94a5\u793a\u4f8b
  1. 进入 Authentik 账号设置 > MFA设备 > 注册 > Static tokens(恢复密钥)
  2. 系统生成一组恢复代码(类似 B7uWaqxx0B98 格式的字符串)
  3. 立即复制或截图保存到安全位置
应急使用流程(当其他验证方式不可用时)
1
正常输入密码
在登录页面输入用户名和密码,点击「Log in」
2
切换验证方式
在验证码输入页面,点击下方「Select another authentication method」切换方式
3
选择 Recovery keys
在验证方式列表中选择「Recovery keys - In case you can't access any other method」
4
输入恢复码登录
输入之前保存的其中一个恢复码完成登录。该码即失效,登录后请立即绑定新的验证设备
恢复代码仅在生成时显示一次,之后无法再次查看。建议打印或保存在密码管理器中,不要仅截图存放在手机相册。
最后的安全网,防止锁定账号
无需任何设备或网络
用完即弃,需要提前保存
丢失后需联系管理员重置

更新/重置系统

本系统采用 PWA(渐进式网页应用)技术,会在本地缓存页面和资源以提升加载速度。当系统发布新版本后,如果您遇到页面显示异常或功能未更新的情况,可以通过以下方式手动更新。

方法一:侧边栏手动升级
  1. 登录系统后,展开左侧边栏底部的「账户」菜单
  2. 点击「手动升级」
  3. 系统将清除本地缓存并重新加载最新版本
方法二:浏览器清除缓存
  1. 打开浏览器设置(Chrome: 右上角三个点 > 设置)
  2. 找到「隐私和安全」>「清除浏览数据」
  3. 勾选「缓存的图片和文件」,点击清除
  4. 刷新本系统页面
通常情况下,系统会在后台自动检测新版本并更新缓存,您无需手动操作。仅在出现异常时才需要使用上述方法。

小程序模式

本系统支持 PWA(Progressive Web App)技术,可以像手机原生应用一样安装到桌面,实现全屏体验、离线访问和消息推送,无需通过应用商店下载。

PWA 安装示例
Android / 安卓手机
  1. 使用 Chrome 浏览器打开本系统
  2. 点击地址栏右侧的安装图标,或点击浏览器菜单(三个点)
  3. 选择「添加到主屏幕」或「安装应用」
  4. 桌面将出现系统图标,点击即可全屏使用
iPhone / iPad
  1. 使用 Safari 浏览器打开本系统
  2. 点击底部工具栏的「分享」按钮(方框+箭头图标)
  3. 向下滑动找到「添加到主屏幕」
  4. 确认名称后点击「添加」
Windows / Mac 电脑
  1. 使用 Chrome 或 Edge 浏览器打开本系统
  2. 地址栏右侧会出现安装图标(或点击菜单 > 安装)
  3. 确认安装后,桌面和任务栏将出现应用图标

常见问题

最常见的原因是手机时间不准确。请进入手机「设置 > 日期和时间」,开启「自动设置时间」。TOTP 算法依赖精确的时间同步,即使偏差几十秒也可能导致验证失败。另外请确认验证器中选择的是正确的账号。

如果您预先保存了恢复密钥,可以使用恢复密钥登录。登录后进入设置页面,删除旧的验证设备并重新绑定新手机。如果没有恢复密钥,请联系系统管理员协助重置您的 MFA 设置。

进入手机系统设置,找到「日期和时间」选项,开启「自动设置日期和时间」(即从网络获取时间)。iOS 设备路径:设置 > 通用 > 日期与时间 > 自动设置。Android 设备路径:设置 > 系统 > 日期和时间 > 自动确定日期和时间。

可以。建议同时设置通行密钥和 TOTP 验证器,再加上恢复密钥作为备用。登录时系统会记住您上次使用的方式并优先展示,您也可以点击切换到其他已设置的验证方式。

通行密钥是目前最安全便捷的验证方式:使用指纹或面部识别一触即过,无需输入验证码;基于公钥加密技术,即使服务器被攻击也不会泄露您的凭证;无法被网络钓鱼攻击利用。Apple/Windows/Android 主流平台均已原生支持。

微信内置浏览器对 WebAuthn 通行密钥和部分 OAuth 认证流程的支持不完整,可能导致验证页面无法正常弹出或操作失败。请复制链接后在 Chrome、Safari 或系统自带浏览器中打开,以获得完整的功能支持。

如果还能正常登录系统,可以在 Authentik 设置中删除旧的恢复密钥设备,然后重新注册生成一组新的恢复码。如果已无法登录,请联系系统管理员协助重置。建议及时补充恢复密钥,保持至少一组有效备用。

实用建议

保持时间同步

TOTP 依赖精确时间。请开启手机的自动时间设置,避免验证码失效。

妥善保存恢复码

打印或存入密码管理器,这是丢失设备后恢复账号的唯一途径。

优先使用通行密钥

最安全且最快速的验证方式,无需手动输入验证码。

避免微信内打开

请使用 Chrome / Safari 等浏览器访问系统,确保验证流程正常。