@netnr 那看你们自己身份认证系统的实现了啊，举个例子，假设你们接收到身份认证请求，第一步到密码验证系统去完成密码验证，通过后第二步到 MFA 那验证 TOTP ，通过后第三步通知其他系统说身份验证完成。正经的 oauth 应该是直接接入到第三步位置告知其他系统身份验证完成才合理，如果你拿 oauth 挂在第二步前头用来代替密码验证系统，那当然在 oauth 之后就需要 MFA 了，可能的好处是你们“可以”不用管理用户名密码这些东西。

oauth2 是从第三方带着身份验证完成的信息返回的，本地的没必要再额外做身份验证了，也就不存在输入 MFA 的情况了。如果有强制 MFA 的要求，在第三方处做。
单纯只有 TOTP 的传输原则上不限制通道加密。但是总不会你密码传输走 HTTPS ，TOTP 走 HTTP 吧？这东西一起走 HTTPS 不就行了么？

我自己在用 vivo pad pro3 + 原配键盘壳 + 原配震动版手写笔，配合自建的 vscode server 做 ssh 或者 tunnel 都还可以，但是我不是正经程序员，所以只是简单项目的前提下是挺好用的。远程到 windows 用 android 版的 rdp 没问题。
我也配置了 spacedesk 的扩展桌面，不过还是 moonlight + sunshine 扩展桌面更流畅，但是不像 spacedesk 那么开箱即用。
当然我拿 pad 的主要用途是现场审核的底稿记录，直接 obsidian + syncthing 同步回家。
当前长时间用 pad 的最大问题，一个是键盘的输入法切换需要使用 shift 而不能 win+space ，另外就是触摸板的三指单击是后退而不是中键，这两个我很不习惯，不过对鼠标（我主要是各种轨迹球们）的支持很好。
再另外，配合 lightroom 订阅出差或出游选片修图一绝。传统的影音需求当然就更不用提了。

@coldle 明白了，多谢多谢

@coldle 能不能细说改键，我就是在用 android 平板连 windows

FIPS197 是 AES 算法的标准要求，当然其中的部分方法实现各家都可以有自己的想法和手段。但是 AES 算法的正确实现请参考 OpenSSL 的代码，而不是其他不知道来源的东西。
针对你要的 KeyExpansion 部分：
https://github.com/openssl/openssl/blob/master/crypto/aes/aes_core.c#L599
尽量不要重复造轮子，算法实现的正确性可以去 NIST ACVP 找测试向量，如果想拿到算法测试证书可以找对应实验室，这里我就不给我司打广告了。

首先 TOTP 有个最大的问题是时间同步，你看一下他的算法就知道了，简单理解就是时间加上用户的唯一序列号做 hash 生成，所以客户端和服务器端要保持时间一致，这也是为什么大部分 TOTP 都是分钟为单位。如果真的做到 10 秒钟，用户这边看到、输入、确认，那边已经超时了比对不一致了。我们早年做过滑动时间窗口做客户端和服务器的时间偏移，但是没有特别的意义。
然后针对脱库这个，库里可以保存用户唯一序列号的强加密数据，这样即使拿到也是加密后的数据。但是加解密也是有时间损耗的，当然不会到秒级，但是用户量大的时候，专门为了登录这个动作而损耗计算时间是否有意义？
最后，现在的合规要求都是多因素，密码+TOTP 是最理想的双因素认证形式。可以考虑在使用 TOTP 的前提下略微降低对密码复杂度的要求，这也是目前部分认证的思路。
再最后，密码这块不要考虑这些有的没的，有任何想法请上 FIDO2 。

最便宜的 titanarmy 曲面屏 2560*1080 ，配合笔记本屏幕，再结合 i3wm 或者 hyperland 之类的，相当于三面方形的屏幕一起用。我的主业是咨询和写报告，偶尔也会写点代码，至少在我的使用场景下非常的爽

win11 自建 kms 激活的 pro 版，美国区域，目前还没收到对应的推送安装，还有点小期待...

@WizardLeo 大小文件都会慢，无所谓分布在 disk 还是 cache 上都一样慢，wifi 和有线也一样，总之似乎是 unraid shfs 的一个特性。找不到 unraid forum 的链接了...

@WizardLeo 不是，我没用 parity ，只上了足够快的 cache 。据说是 unraid 的 shfs 的锅，如果换成 shared disk 那么 smb 速度会正常，不过我没空测试，反正我更多是 wifi 访问本身就有速度限制...

unraid 系统是系统数据是数据，为什么升级系统会丢数据？如果是 docker 和虚拟机，可能 docker 版本或者 qemu 会有一些问题？我是没遇到过。但是数据我想不到有任何影响，除非你要换 fs 。
unraid 从 6.1 用到现在最新版本的前一个版本，因为最新版本居然降级了...硬件也换过好几版，硬盘位置 cache 什么的也调整过好多次，没遇到过数据出问题的。、
unraid 唯一的毛病就是 smb 过慢，我没试过直接 share disk ，据说能解决。除此以外都挺好的。
硬解这个，我现在是 13700 ，配合最新版肯定没问题。6.8 那个年代我还在用 gen10p ，直接物理屏蔽核心显卡...

HDD 的话，linux 直接使用 shred 命令，用/dev/random 作为输入，多复写几次。windows 用自家的 SDelete 就行。如果是 SSD ，全盘使用上边的命令做处理，或者简单考虑碎盘吧。

N3 的实现更类似于 paperwm 吧，当然 paperwm 是横向扩展，N3 似乎实现了二维扩展

@codeself 是这个意思。不过这个平台的搜索非常迷，比如我的每个文件夹都是 20xxxxxx 这样的日期格式开头，后边跟着大概的描述，但是搜索的时候不论输入哪个部分都搜索不出来...好在我的照片我都有印象大概时间，然后按照日期去找。

@Jianzs nextcloud 满足你需求，不做点对点加密的话在服务器端可以直接查看原始文件，但不建议直接文件系统写入。同步的话和 onedrive 之类的完全一致，可以选择文件夹作为同步盘，所有系统通吃。除了服务器端实在是略慢...
如果同步功能是你需要的重点，还是建议 syncthing ，增量同步，多端文件夹一致，速度也理想

@alukongfu x11 下有 autorandr ，wayland 下有 kanshi ，都不想用还可以配合 udev rules 或者做成 key bind 手工切换，比如我就是配合 edid 查找目前接入的显示器，然后在调用上边的命令做切换

Arch + Hyprland ，NVDIA+Wayland ，常用的除了笔记本自己的屏幕之外还有两个显示器，使用下边的命令：
wlr-randr --output DP-1 --mode 2560x1440 --pos 0,0 --scale 1.25 --output eDP-1 --mode 2240x1400 --pos 0,1152 --scale 1.4
wlr-randr --output eDP-1 --mode 2240x1400 --pos 0,0 --scale 1.4 --output DP-1 --mode 2560x1080 --pos 1601,0 --scale 1
每个显示器都完美不虚。如果是 chromium 和 electron 需要考虑在打开应用时候加上 wayland 支持，但即使不开，也仅仅是字体边缘有一些极轻微的虚影，不对比基本看不出来。
NVIDIA + Wayland 前两年确实不行，但是现阶段基本上正常使用没有问题了。

目前我在阿里云盘上保存了 2.4T 的加密照片，大概是不到 8 万个文件的样子，没遇到封号的情况。我是 aliyun 挂 webdav ，然后 nas 自动 rclone 加密上传。像楼上说的，这个纯粹就当作是可有可无的一个文件备份。