对于2FA的使用，我发现有的人用了不短时间的TOTP，但是并不懂其中的原理。

TOTP 通常30/60秒一刷新，但是看到那个token和输入到应用中，是有一个时间差的，手快的快也要四五秒。有的人看到token快要过期了，就会停下来等下一次生成新的token，然后再输入。

这其实是完全没必要的，在TOTP的算法里，有个属性叫window_size，这个属性就是允许你输入的token和当前实际token不一致的，设计时就考虑到了“输入”这个操作导致的时间差。

通常这个window_size是2，因此完全没必要等。