fix(otp): 修正 OTP 关闭逻辑

2026-03-20 03:57:30 +08:00 · 2026-01-20 19:53:59 +08:00
parent 7489c76722
commit 7ac0fbaf76
1 changed files with 2 additions and 2 deletions
--- a/app/api/endpoints/mfa.py
+++ b/app/api/endpoints/mfa.py
@@ -161,9 +161,9 @@ async def otp_disable(
    current_user: User = Depends(get_current_active_user_async)
 ) -> Any:
    """关闭当前用户的 OTP 验证功能"""
-    # 安全检查：如果存在 PassKey，不允许关闭 OTP
+    # 安全检查：如果存在 PassKey，默认不允许关闭 OTP，除非配置允许
    has_passkey = await _check_user_has_passkey(db, current_user.id)
-    if has_passkey:
+    if has_passkey and not settings.PASSKEY_ALLOW_REGISTER_WITHOUT_OTP:
        return schemas.Response(
            success=False,
            message="您已注册通行密钥，为了防止域名配置变更导致无法登录，请先删除所有通行密钥再关闭 OTP 验证"