Я изучаю реализацию двухфакторной аутентификации в MVC, похожей на аутентификатор Google.Надежная реализация двухфакторной аутентификации
Поскольку некоторые пользователи не будут иметь двухфакторную аутентификацию, мы хотим использовать двухэтапный процесс - один экран, чтобы ввести имя пользователя и пароль, а другой - ввести одноразовый пароль.
Мое затруднение заключается в том, как вы надежно сохраняете имя пользователя и пароль пользователей, пока они вводят свой одноразовый пароль? В настоящее время мы получаем пароль и немедленно отклоняем или выписываем файл cookie, поэтому мы не храним пароль нигде. Однако с двумя шагами мы не можем немедленно выпустить cookie, потому что пользователь может просто перейти к другому действию. В равной степени я не хочу отправлять пароль обратно пользователю в виде скрытого элемента в форме.
Какова стандартная практика для этой ситуации?
Лучшее, что я могу придумать, это сохранить имя пользователя и пароль в сеансе, но я не уверен, насколько это безопасно.
https://stackoverflow.com/questions/47368154/how-to-make-google-authentication-scan-qr-code/47368506#47368506 здесь ваше решение –