TOTP実装では、常にユーザーに回復コードを提供することをお勧めします。これらをトークンのように扱う必要がありますか?一度表示してハッシュ化しますか?
もしそうなら、私はその理由を知りたいです。そうでなければ、私も興味があります。
あなたが持っているように見える この特定のTOTPライブラリでは は、TOTPの外部で2FAバイパス機能を作成および実装するための要件です。
これらは、TOTPの代わりに使用できる1回限りの使用コードのセットです。これらは、ランダムに生成された文字列で、バックエンドに保存することができます。
これらの回復キーは、アカウントのロックを解除する「ゴールデンキー」です。これらは2番目のパスワードのようになるため、同じ方法で保護および実装する必要があります。