Autenticacion en dos pasos
Activar 2FA TOTP para administradores del panel.
Los administradores pueden proteger cuentas del panel con TOTP (apps como Google Authenticator, 1Password o Authy). Cuando esta activo, la contrasena sola no basta — debes completar un segundo paso.
Activar 2FA
Desde Ajustes → Seguridad (o la seccion 2FA de la cuenta):
- Escanea el codigo QR con tu app autenticadora
- Introduce el codigo de 6 digitos para confirmar
- Guarda codigos de respaldo si la UI los ofrece
Equivalente en API:
POST /auth/2fa/enable
Authorization: Bearer <accessToken>
Content-Type: application/json
{ "code": "123456" }
El flujo de activacion devuelve secreto y payload QR antes de enviar el primer codigo valido.
Login con 2FA activo
Login estandar:
POST /auth/login
Con 2FA activo, la respuesta indica un desafio en lugar de tokens. Completa la verificacion en:
POST /auth/login/verify-2fa
Content-Type: application/json
{
"email": "[email protected]",
"password": "...",
"totpCode": "123456"
}
Al exito recibes accessToken y refreshToken como de costumbre.
Desactivar o recuperar
Desactivar 2FA requiere un codigo TOTP valido estando autenticado. Si pierdes el autenticador, contacta al owner de la organizacion o soporte MailingCore con verificacion de cuenta.
Ver Autenticacion para JWT y API keys.