Autenticazione a due fattori
Attivare 2FA TOTP per admin del pannello.
Gli admin possono proteggere gli account del pannello con TOTP (app come Google Authenticator, 1Password o Authy). Se attivo, la password da sola non basta — serve un secondo passaggio.
Attivare 2FA
Da Settings → Security (o sezione 2FA dell'account):
- Scansiona il QR con l'app autenticatrice
- Inserisci il codice a 6 cifre per confermare
- Salva i codici di backup se l'UI li offre
Equivalente API:
POST /auth/2fa/enable
Authorization: Bearer <accessToken>
Content-Type: application/json
{ "code": "123456" }
Il flusso di attivazione restituisce secret e payload QR prima del primo codice valido.
Login con 2FA attivo
Login standard:
POST /auth/login
Con 2FA attivo, la risposta indica una sfida invece dei token. Completa la verifica su:
POST /auth/login/verify-2fa
Content-Type: application/json
{
"email": "[email protected]",
"password": "...",
"totpCode": "123456"
}
In caso di successo ricevi accessToken e refreshToken come di consueto.
Disattivare o recuperare
Disattivare il 2FA richiede un codice TOTP valido da autenticati. Se perdi l'autenticatore, contatta l'owner dell'organizzazione o il supporto MailingCore con verifica account.
Vedi Autenticazione per JWT e API key.