---
date: 2026-06-16
version: V1.1.0
tag: V1.1.0
commit: 768f1ece55c5d7f35f40e46073f1279561a03997
author: William
license: MIT
---

V1.1.0 正式把**安全模块**纳入管理后台,从此管理员可以一站式配置登录策略、追踪访问行为、保护账号安全。

管理员在后台导航中可见 **「安全中心」** 选项卡,包含四大能力:

### 1. 强制修改密码开关

- 全局开关:开启后,**所有用户首次登录必须修改默认密码**。
- 支持按角色例外:例如仅对 `user` 角色生效。
- 修改完成后自动写入「已修改」标记,避免重复提示。

### 2. 2FA 二次验证(支持二维码生成)

- 全局开关:开启后,登录流程追加 TOTP 二次验证步骤。
- 用户首次启用时,前端使用 `qrcode` 库**动态生成二维码**,扫码即可在 Google Authenticator / Microsoft Authenticator 等 App 中绑定。
- 登录流程:账号密码 → 错误一次 → 提示需要 2FA → 输入 6 位验证码 → 登录成功。

### 3. 访问日志

- 自动记录**每一次成功 / 失败的访问**,包括:
- 访问人(用户名 + 角色)
- 访问时间(精确到秒)
- 来源 IP
- 访问结果(成功 / 失败原因)
- 列表支持按用户、IP、时间区间筛选,方便追溯异常行为。

### 4. 默认账号提示

- 系统首次启动会生成 `admin / shop / demo` 三个默认账号。
- 安全中心顶部会**显著提示**「请尽快修改默认密码」,直至管理员确认。

V1.0.x 把功能跑通了,但**默认账号、弱密码、可复用密码**是最大的安全隐患。V1.1.0 让管理员可以**零代码**地为整个站点加锁:

- 个人 / 小团队站点:开启「强制改密」即可挡住 80% 的攻击。
- 公开部署的站点:再加 2FA,账号安全等级直接翻倍。
- 一旦出事,「访问日志」就是**第一手取证材料**。

- 二维码生成:`qrcode`(Node.js 端)+ 前端 Canvas 渲染。
- TOTP 校验:与主流 Authenticator App 兼容(RFC 6238)。
- 访问日志:JSON 文件型存储,支持按月分文件归档。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。