В настоящее время я использую 2FA для своего веб-приложения.
Я пришел к выводу, что наиболее распространенный подход для этого заключается в следующем.
- Отправьте
/login запрос с именем пользователя + паролем и получите временный токен в ответ.
- Затем отправьте
/login_2fa с полученным токеном и временным контактом 2FA и получите окончательный (например, jwt) токен, чтобы затем получить доступ к API с ним.
Возможно ли и хорошая идея объединить эти два шага в один? Отправьте имя пользователя + пароль + 2-контактный код на /login и получите окончательный токен.