Me gustaría implementar el siguiente caso de uso:
- El usuario llega a la página de inicio de sesión
- El usuario envía las credenciales de inicio de sesión
- Las credenciales se validan y se redirigen a otra página para ingresar el token de autenticación de múltiples factores
- El usuario envía el token de autenticación de múltiples factores
- El token se valida y el usuario se redirige a la aplicación
Mi pregunta es sobre las etapas 3-5: ¿Cuál es el método recomendado para realizar un seguimiento de este usuario una vez que ingresaron su nombre de usuario / contraseña pero antes de que ingresaran su token de autenticación multifactor? Para validar el token, debe haber una manera de saber qué usuario realiza la solicitud. También debe haber una forma de evitar que los atacantes se salten la parte del proceso del Nombre de usuario / Contraseña.
¿Cuál es la forma recomendada de resolver este problema?