開啟Google的登陸二步驗證（即Google Authenticator服務）後用戶登陸時需要輸入額外由手機客戶端生成的一次性密碼。

實現Google Authenticator功能需要伺服器端和客戶端的支援。伺服器端負責金鑰的生成、驗證一次性密碼是否正確。客戶端記錄金鑰後生成一次性密碼。

目前客戶端有：
android版： Google 身份驗證器
iOS版：https://itunes.apple.com/cn/app/google-authenticator/id388497605

實現原理：

一、使用者需要開啟Google Authenticator服務時，
1.伺服器隨機生成一個類似於『DPI45HKISEXU6HG7』的金鑰，並且把這個金鑰儲存在資料庫中。
2.在頁面上顯示一個二維碼，內容是一個URI地址（otpauth://totp/賬號?secret=金鑰），如『otpauth://totp/

[email protected]?secret=DPI45HCEBCJK6HG7』，下圖：

3.客戶端掃描二維碼，把金鑰『DPI45HKISEXU6HG7』儲存在客戶端。

二、使用者需要登陸時
1.客戶端每30秒使用金鑰『DPI45HKISEXU6HG7』和時間戳通過一種『演算法』生成一個6位數字的一次性密碼，如『684060』。如下圖android版介面：

2.使用者登陸時輸入一次性密碼『684060』。
3.伺服器端使用儲存在資料庫中的金鑰『DPI45HKISEXU6HG7』和時間戳通過同一種『演算法』生成一個6位數字的一次性密碼。大家都懂控制變數法，如果演算法相同、金鑰相同，又是同一個時間（時間戳相同），那麼客戶端和伺服器計算出的一次性密碼是一樣的。伺服器驗證時如果一樣，就登入成功了。

Tips：
1.這種『演算法』是公開的，所以伺服器端也有很多開源的實現，比如php版的：

https://github.com/PHPGangsta/GoogleAuthenticator 。上github搜尋『Google Authenticator』可以找到更多語言版的Google Authenticator。
2.所以，你在自己的專案可以輕鬆加入對Google Authenticator的支援，在一個客戶端上顯示多個賬戶的效果可以看上面android版介面的截圖。目前dropbox、lastpass、wordpress，甚至vps等第三方應用都支援Google Authenticator登陸，請自行搜尋。
3.現實生活中，網銀、網路遊戲的實體動態口令牌其實原理也差不多，大家可以自行腦補下，謝謝。