@bozuriciyu

2FA + JWT, как делать?

Есть простой сервис авторизации, который выдает, проверяет JWT, сохраняет юзеров в бд. Хочу добавить возможность 2fa, например код OTP из иприложения или на почту (пускай на почту для примера). Сервис в виде API.

Происходит все элементарно - юзер вводит данные логина на фронте, фроонт отправляет на апи, апи возвращает ответ. Как правильно добавлять двухфактор в такую схему? Нужно какое-то промежуточное состояние - т.е. юзер залогинился, но не ввел код? Как его хранить принято? Сессии нет - JWT. Вообщем, как это имплементируется обычно в подобных сервисах?
  • Вопрос задан
  • 148 просмотров
Пригласить эксперта
Ответы на вопрос 1
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Все прмежуточные состояния - это сторона клиента + мат.алгоритм + таймер/код.
Нужно сохранять порядок действий и обновлять верификационный код (при необходимости) без повторной авторизации.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы