Em có tìm hiểu 1 số bài hướng dẫn nhưng các bài đó  vẫn đúng ý em lắm.Em chưa tìm ra  hướng làm nên em lên đây mong nhận được sự giúp đỡ của mọi người ạ.

Em muốn Spring Security xác thực theo các bước sau ạ

1. Bước 1 : Người dùng gửi username/password nếu đúng thì chưa set user đó vào security context và chưa trả về client JSESSIONID như bình thường mà redirect về một view hiển thị thêm 1 input là code và yêu cầu người dùng phải nhập thêm code nữa mới login thành công.
2. Bước 2 : Người dùng nhập  code (lấy ở GG Authenticator App ) và submit.Nếu code đúng thì set user đó vào security context và trả về client JSESSIONID như thường lệ.

Em thấy 1 số hướng dẫn người ta input username/password và code submit chúng chung 1 lần.Nhưng em muốn là đúng username/password trước nếu đúng rồi  sau đó mới submit code lên để xác thực .Nếu code đúng thì mới tính là đăng nhập thành công.

Mọi người cho em biết  hướng để xử lý tình huống này với ạ.Em nghĩ là phải custom 1 trong các thứ như là UsernamePasswordAuthenticationFilter hoặc AuthenticationProvider có đúng ko ạ ?

Mong nhận được sự giúp đỡ và gợi ý của mọi người.Em cảm ơn !