Как реализовать Two-Factor Authentication в Node.js?

TOTP (Time-based One-Time Password): otplib библиотека. authenticator.generateSecret() — генерирует секрет для пользователя. QR код: totp uri → qrcode пакет. authenticator.verify({ token, secret }) — проверяет 6-значный код. Секрет шифруешь в БД (AES). Флоу: 1) Пользователь включает 2FA — сканирует QR в Google Authenticator. 2) Подтверждает кодом. 3) При логине — после пароля запрашиваешь TOTP. Backup коды: генерируешь 8-10 одноразовых кодов на случай потери устройства.