DocumentazioneAutenticazione a due fattori

Autenticazione a due fattori

Attivare 2FA TOTP per admin del pannello.

Gli admin possono proteggere gli account del pannello con TOTP (app come Google Authenticator, 1Password o Authy). Se attivo, la password da sola non basta — serve un secondo passaggio.

Attivare 2FA

Da Settings → Security (o sezione 2FA dell'account):

  1. Scansiona il QR con l'app autenticatrice
  2. Inserisci il codice a 6 cifre per confermare
  3. Salva i codici di backup se l'UI li offre

Equivalente API:

POST /auth/2fa/enable
Authorization: Bearer <accessToken>
Content-Type: application/json

{ "code": "123456" }

Il flusso di attivazione restituisce secret e payload QR prima del primo codice valido.

Login con 2FA attivo

Login standard:

POST /auth/login

Con 2FA attivo, la risposta indica una sfida invece dei token. Completa la verifica su:

POST /auth/login/verify-2fa
Content-Type: application/json

{
  "email": "[email protected]",
  "password": "...",
  "totpCode": "123456"
}

In caso di successo ricevi accessToken e refreshToken come di consueto.

Disattivare o recuperare

Disattivare il 2FA richiede un codice TOTP valido da autenticati. Se perdi l'autenticatore, contatta l'owner dell'organizzazione o il supporto MailingCore con verifica account.

Vedi Autenticazione per JWT e API key.