Keycloak中的自定义2FA身份验证器

Question

我想在Keycloak中开发一个自定义提供程序，以基于自定义OTP进行2FA身份验证。 这两个步骤（1：登录名/密码2：临时代码+ otp）在浏览器流程中效果很好，但我想直接用于API调用（direct_grant流程）。

实现这两个步骤的api调用的最佳方法是什么：

• 第一次API调用必须验证用户名/密码，向用户设备触发OTP代码，并为JSON中的第二个身份验证步骤返回一个临时代码
• 第二次API调用是通过Keycloak重新调谐临时代码并从用户设备接收OTP来完成的，Keyckloak必须检索与用户关联的临时代码并验证OTP，如果可以，请为用户创建访问令牌。

我尝试使用generateAccesscode（）方法获取此临时代码，但是我不确定这是正确的方法，而且我不知道如何将其与用户关联（在会话中或类似的东西） ）...