Nem értem mire fel ez a bonyolult eljárás.
Egy N karakteres véletlen jelszó nem elég?
Szerver oldalon generálod, ott is ellenörzöd.... nem értem mire az a nagy felhajtás a bele kódolt dolgokkal.
A szerver oldalon elég egy adatbázisban eltárolni a jelszót (titkosítva), az IP-t, a usert, meg a lejárati időt.
Aztán ha mindd a 4 azonosítási elem stimmel, a user bejöhet.
A jelszó meg pl. sms-ben kiküldhető, ha egy független csatornát is bele akarsz vinni a dologba.