我正在使用pyotphttps://github.com/pyotp/pyotp将我的应用程序与googleauthenticator集成。在

文档建议使用qrioshttps://github.com/neocotic/qrious这很好，而且效果很好。基本上qrios能够在浏览器中生成QR码。在本例中，供应URI被传递到QR码生成器，并由此生成QR码。在

让我困惑的是，provisioning URI包含密钥，但是我们将这个URI发送到客户端，由qrious转换成QR码。所以密钥不是秘密的，因为它已经被发送到客户端。在

我本以为密匙决不能从后端发出——我有什么不明白的？在

# generate a base32 secret key
>>> pyotp.random_base32()
'55OZSEMXLL7VAUZP'
# make a provisioning_URI
>>> provisioning_URI = pyotp.totp.TOTP('55OZSEMXLL7VAUZP').provisioning_uri('someperson@example.org',issuer_name="FooCorporation")
>>> provisioning_URI
'otpauth://totp/FooCorporation:someperson%40example.org?secret=55OZSEMXLL7VAUZP&issuer=FooCorporation'
>>>

provisioning_URI会被发送到浏览器中，变成一个二维码，但是它包含了密钥，这肯定不安全吗？在