Web Console
功能完备的管理控制台
深浅模式、6种主题色、响应式设计。管理员首次登录强制绑定 MFA,控制台本身也是零信任的。
深浅模式、6种主题色、响应式设计。管理员首次登录强制绑定 MFA,控制台本身也是零信任的。
服务端统一调度认证引擎,多端客户端覆盖,三种验证方式互备,构筑企业零信任防线。
Go + PostgreSQL,Docker 一键启动。数据库、密钥、审计日志全部在企业内网,绝不外传。
TOTP 离线动态码、App Push 一键审批、邮件备用验证码,任意组合配置,永不断链。
超管 / 管理员 / 帮助台 / 审计员 / 用户五级角色,LDAP/AD 同步,最小权限原则落地。
每位用户 TOTP 种子独立加密存储,支持密钥版本轮换,CLI 工具一键迁移加密数据。
国家级白名单拦截认证请求,异地登录实时阻断写入审计日志,可按企业策略开关。
服务异常时双管理员审批开启临时 Bypass,最长 4 小时自动失效,全程审计留痕。
每次 TOTP 验证、Push 审批、管理操作均记录 IP、时间、设备、地理位置,支持导出。
用户 5 次失败自动锁定,IP 级 / API Key 级 / 端点级三维限流,防暴力破解全覆盖。
/health 存活检查,/ready 含数据库时钟偏差检测,容器时钟漂移 >60s 自动返回 503。
企业专属手机认证客户端,支持 TOTP 完全离线生成和 Push 服务端推送审批,无论有无网络均可完成认证。
各客户端负责各自场景接入,统一由服务端调度,未来持续扩展更多平台。
通过 IFEO 技术毫秒级拦截 cmd.exe 等敏感进程,未经 MFA 审批一律阻断. 核心文件只读自保、毫秒级自愈,Admin 权限也无法绕过。
嵌入 Windows 原生认证后的第二道门. Credential Provider 或 Shell Launcher 双模式,知道密码不等于能进入系统。
企业专属 Android 认证客户端,RFC 6238 标准 TOTP 完全离线,服务端 Push 推送即时到达,一键审批。
APNs 原生推送通道实现低延迟 Push 审批,TOTP 离线动态码双模式,覆盖 iPhone / iPad。
为 Linux 服务器的 SSH 登录、sudo 提权及本地控制台登录加上 MFA 第二关。基于标准 PAM 模块,无需修改现有认证流程,支持 Ubuntu / Debian 和 RHEL / CentOS 全系发行版。
为 macOS 的系统登录、屏幕解锁及 sudo 提权加上 MFA 第二关。基于 macOS 原生 PAM 机制,无需关闭 SIP,支持 Apple Silicon 与 Intel 双架构,兼容 macOS 12 Monterey 及以上版本。
即将推出
Web 登录接入端(API 集成)
通过标准 REST API 将 MFA 验证嵌入任意 Web 应用或自有系统,无需部署额外客户端。
如果您需要提前接入或参与完成验证,欢迎联系我们,我们将协助完成集成。
如需我们辅助完成 API 对接,提供接口说明、调用示例及联调支持,请随时联系。
单文件可执行程序,首次运行自动引导配置,无需手动编写配置文件。
运行 ./mfa-server,自动检测数据库是否存在。若未初始化,进入交互式配置向导,填写 PostgreSQL 连接信息后自动建库建表。
初始化完成后先通过 HTTP 访问控制台,配置 TLS 证书(支持自建证书或导入第三方证书),完成后切换为 HTTPS 访问。
联系我们完成产品注册后,方可在控制台生成企业授权 Key。没有 Key,客户端无法完成 MFA 验证。
在控制台创建用户并发送注册邮件,用户收到邮件后自助绑定手机 App(支持 Android / iPhone),绑定完成即可使用 MFA 认证。
# 前提:安装好 PostgreSQL 并确保服务运行中
# 赋权后直接运行,无需任何参数
chmod +x mfa-server-web-linux-amd64
./mfa-server-web-linux-amd64
# 第一次启动自动进入配置导航
# 按提示填写数据库连接信息
# 完成后访问控制台:
http://<服务器IP>:8080
# 默认账号:admin 密码:admin123从后端管理控制台到移动端认证 App,再到桌面加固插件,PODOD-MFA 提供全链路一致且专业的交互体验。
Go语言构建,标准协议兼容,银行级安全设计,生产就绪。
AES-256-GCM 加密所有 TOTP 种子,密钥从不入库。WindowsLock 使 Admin 权限也无法删除保护服务。
// TOTP 种子加密存储(密钥版本路由)
func Encrypt(plaintext []byte) (string, error) {
key := getLatestKey() // 从环境变量读取
block, _ := aes.NewCipher(key)
gcm, _ := cipher.NewGCM(block)
ciphertext := gcm.Seal(nonce, nonce, plaintext, nil)
// 格式:v2:<base64> 支持版本轮换
return "v2:" + base64.Encode(ciphertext), nil
}
// WindowsLock 权限锁定逻辑
SetNamedSecurityInfoW(
path, SE_FILE_OBJECT,
DACL_SECURITY_INFORMATION,
NULL, NULL, dacl_readonly, NULL
);
// Admin → 只读 (ACCESS_DENIED on delete)
// 文件监视:毫秒级自愈
WatchDirectory(L"C:\\WindowsLock", FILE_ACTION_REMOVED,
[]() { RestoreProtectedFiles(); }
);标准协议,最小改造成本,兼容主流企业 IT 基础设施。
JSON 标准 API,任何系统 5 分钟完成 MFA 接入
兼容 FortiGate、Cisco ASA、Palo Alto 等主流 VPN
作为 IdP Connector 接入企业统一身份认证
Active Directory 用户定时增量同步
SMTP 自定义模板,绑定邀请、登录报警即时推送
一份 Compose 文件完成私有化安装,15 分钟上线
国家级白名单,海外访问实时拦截
满足等保 2.0、ISO 27001 审计要求
立即下载 PODOD-MFA 套件,为每一个登录入口加上不可撤销的第二道锁。
需要 iOS App 或定制部署?联系我们 →