使用第三方登录 OAuth2 ，如果开启了 MFA（TOTP），还要输入校验码吗

第三方登录的话，MFA 不应该在第三方那边吗

oauth2 是从第三方带着身份验证完成的信息返回的，本地的没必要再额外做身份验证了，也就不存在输入 MFA 的情况了。如果有强制 MFA 的要求，在第三方处做。
单纯只有 TOTP 的传输原则上不限制通道加密。但是总不会你密码传输走 HTTPS ，TOTP 走 HTTP 吧？这东西一起走 HTTPS 不就行了么？

@Tink @likelylee 看附言 1

@netnr 一样的啊，就算是同一家做的，也得分两个相互独立的角色

我不明白你说的意思

@netnr #3 自身的 MFA 肯定是适用于自身的登录系统，第三方带过来的应该是登录成功的 cookie

@netnr 那看你们自己身份认证系统的实现了啊，举个例子，假设你们接收到身份认证请求，第一步到密码验证系统去完成密码验证，通过后第二步到 MFA 那验证 TOTP ，通过后第三步通知其他系统说身份验证完成。正经的 oauth 应该是直接接入到第三步位置告知其他系统身份验证完成才合理，如果你拿 oauth 挂在第二步前头用来代替密码验证系统，那当然在 oauth 之后就需要 MFA 了，可能的好处是你们“可以”不用管理用户名密码这些东西。