安全设置（管理后台）

入口

管理后台 → 安全设置：/admin/security-settings

这里能解决什么

• 看一眼当前安全状态（2FA 是否启用、GitHub 登录是否可用等）
• 开启/关闭 2FA（扫码 + 备份码）
• 配置 GitHub 登录（可选）
• 禁用密码登录（只保留 GitHub 登录）
• 管理登录入口（动态入口/通知）
• 登录通知（成功/失败/锁定等）与测试通知
• HTTP 安全开关（只在 HTTPS/反向代理正确时用）
• CSP 脚本域名白名单（第三方脚本被拦时用）

最短操作

1）开启 2FA（建议）

1. 在本页找到“双因子认证 (2FA)”
2. 点“启用 2FA”，用认证应用扫二维码
3. 输入验证码，点“验证并启用”
4. 立刻下载/保存“备份码”

因为手机丢了就拿不到验证码，所以必须保存备份码，用来应急登录。

2）启用“禁用密码登录”（先确认 GitHub 登录可用）

1. 先把本页的“GitHub 登录”配置好，并点一次“测试登录”
2. 再打开“禁用密码登录”

因为开了这个开关后，密码登录会被拒绝，所以如果 GitHub 登录没配好，你会被锁在门外。

3）开启“动态登录入口”（不想让别人随便撞登录页）

1. 在本页找到“登录入口管理”
2. 打开“动态入口”，并打开“通知”
3. 以后忘记入口时，用固定提示页 /admin-login 通过通知找回

因为动态入口会变，所以你需要依赖通知来找回入口。

常见问题

开了“强制 HTTPS”后，HTTP 访问直接跳转/打不开

因为这个开关会把 HTTP 强制跳到 HTTPS，所以只有在你的证书和反向代理都配置好时才该打开；否则先关掉再处理代理配置。

想要接收登录通知，但“测试通知”没反应

因为通知需要先配置通知渠道，所以先到 通知设置 配好，再回本页点“测试通知”。

第三方脚本被浏览器拦了（CSP 报错）

因为系统默认会拦外部脚本，所以只在你确实需要加载第三方脚本时，再把对应域名加到“CSP 脚本域名白名单”。

相关页面

• 分域部署（Nginx/宝塔/1Panel/Caddy）（先在本页 /admin/security-settings 生成片段）
• 登录与入口
• 系统设置
• 通知设置