Para una interfaz, me gustaría implementar MFA (con TOTP). Puede que esté buscando las palabras clave equivocadas, pero no pude encontrar la manera correcta de implementar esta solución de forma segura. Estaba buscando un flujo de diagrama, por ejemplo, como:
- Solicitud: POST para / iniciar sesión con credenciales en JSON, Respuesta 302 a / mfa
- Solicitud: GET / mfa, Respuesta / mfa
- Solicitud: POST con credenciales nuevamente y código mfa, Respuesta 302 a /
- Solicitud: GET para /, respuesta 302 a / (usuario que inició sesión)
¿Hay alguna descripción de RFC ( enlace ) en detalles sobre la implementación de dicho protocolo o depende del usuario? ssl de otro sitio web para realizar ingeniería inversa cómo lo hicieron (lo que hice para github, etc.). ¿Solo está buscando la forma correcta de implementarlo, puede ser un marco que ya funciona? ¿Debo usar cookies o está bien volver a solicitar al usuario e iniciar sesión junto con el código de mfr (noté que github en el PASO 3 usa authenticity_token=<base64token>&otp=<123456>
)
Muchas gracias por tu ayuda
PS; una solución ya hecha, como el inicio de sesión con google no es posible, necesito usar la propia base de datos de mi usuario