當兩個後端系統通過 Web API 進行通信時，有什麼方法可以進行 2FA？

當一個人使用 2FA 登錄網站時，該人會從手機上的 google 身份驗證器應用程序讀取生成的 TOTP 程式碼，並將其輸入到他嘗試登錄的網站上。

我正在通過 Web API 設計兩個系統之間的後端集成。只是讓兩個系統保持相同的加密密碼，我感到不舒服。我想在這個過程中加入 2FA 之類的東西。顯然，在此過程中沒有人參與從身份驗證器應用程序中讀取程式碼。那麼行業標準/推薦的方法是什麼？

如果密碼是伺服器知道的東西，那麼證書可能就是伺服器所擁有的東西。

考慮使用具有相互身份驗證的TLS保護基於 Web 的 API ，其中客戶端（因為其他伺服器在此處充當客戶端）也通過 TLS 進行身份驗證。這樣，只有在兩端都首先使用他們的證書進行身份驗證時，才會交換密碼。

引用自：https://serverfault.com/questions/1061954