порядок действий лучше ,
грубо говоря юзер ввел логин и пароль, вижу что у юзера включена 2 фа, тогда генерю ему на одну минуту токен , и редиректю его на проверку токена , юзер вводит токен и ему второй ендпоинт дает уже на сутки токен номральный
Используйте OTP на основе секрета и текущего времени. Тогда ничего генерить не нужно, пользователь вводит код из, например, google auth, а на сервере проверяете его.
Обсуждают сегодня