Vorrei implementare il seguente caso d'uso:
- L'utente atterra sulla pagina di accesso
- L'utente invia le credenziali di accesso
- Le credenziali vengono convalidate e vengono reindirizzate a un'altra pagina per l'immissione del token di autenticazione a più fattori
- L'utente invia il token di autenticazione a più fattori
- Il token è validato e l'utente viene reindirizzato nell'applicazione
La mia domanda riguarda le fasi 3-5 - Qual è il metodo consigliato per tenere traccia di questo utente dopo aver inserito il nome utente / password ma prima di aver inserito il proprio token di autenticazione a più fattori. Per convalidare il token deve esserci un modo per sapere quale utente sta facendo la richiesta. Deve anche esserci un modo per impedire agli attaccanti di saltare la parte Username / Password del processo.
Qual è il modo consigliato per risolvere questo problema?