Per un frontend, vorrei implementare MFA (con TOTP). Potrei essere alla ricerca di parole chiave sbagliate ma non sono riuscito a trovare il modo corretto per implementare in modo sicuro questa soluzione. Stavo cercando un flusso di diagrammi come ad esempio:
- Richiesta: POST a / login con credenziali in JSON, risposta 302 a / mfa
- Richiesta: GET / mfa, Risposta / mfa
- Richiesta: POST con credenziali di nuovo e codice mfa, Risposta 302 a /
- Richiesta: OTTENERE a /, risposta 302 a / (utente loggato)
Esiste un RFC che descrive ( link ) in dettaglio l'implementazione di tale protocollo o il suo fino all'utente per annusarlo ssl di altri siti web per decodificare come lo hanno fatto (cosa che ho fatto per github ecc.). Solo la ricerca del modo corretto di implementarlo può essere una struttura già funzionante? dovrei usare i cookies o è bene richiedere nuovamente l'utente e accedere con il codice mfr (ho notato che github in STEP 3 usa authenticity_token=<base64token>&otp=<123456>
)
Grazie mille per il tuo aiuto
PS; non sono possibili soluzioni già fatte come login con google, ho bisogno di usare il db del mio utente