Login

POST /api/mobile/login

○ Public

Выпустить токен по email + password

Принимает учётные данные пользователя, возвращает Sanctum-токен. Если включён 2FA — первый запрос вернёт 422 с флагом requires_2fa, повторите с two_factor_code.

Request body

Name	Type	Required	Description
`email`	`string`	required	Email пользователя.
`password`	`string`	required	Пароль.
`two_factor_code`	`string`	optional	6-значный TOTP-код. Передавайте, если в ответе первого запроса пришёл `requires_2fa: true`.
`recovery_code`	`string`	optional	Одноразовый recovery-код (10 символов). Альтернатива TOTP при утере телефона.
`device_name`	`string`	optional	Имя устройства. Отображается в /api/mobile/sessions.
`remember`	`boolean`	optional	Если true — токен живёт 365 дней. Иначе 30 дней. Default: `false`

Response

Responses

{
  "data": {
    "user": {
      "id": "usr_5f8d7a3c-1234-4567-89ab-cdef01234567",
      "email": "you@example.com",
      "name": "Иван Петров",
      "kyc_status": "approved",
      "two_factor_enabled": true
    },
    "token": "1|aBcDeFgHiJkLmNoPqRsTuVwXyZ123456789",
    "token_type": "Bearer",
    "expires_at": "2026-06-26T14:23:00Z"
  }
}

{
  "message": "Two-factor authentication required.",
  "error_code": "TWO_FACTOR_REQUIRED",
  "requires_2fa": true
}

{
  "message": "These credentials do not match our records.",
  "errors": {
    "email": ["These credentials do not match our records."]
  },
  "error_code": "INVALID_CREDENTIALS"
}

{
  "message": "Account is frozen due to compliance review.",
  "error_code": "ACCOUNT_FROZEN",
  "support_email": "admin@fin-os.io"
}

Возможные ошибки

Name	Type	Required	Description
`INVALID_CREDENTIALS`	`401`	optional	Неверный email или пароль. Не указывайте в UI, какое именно поле ошибочно — защита от перебора.
`TWO_FACTOR_REQUIRED`	`422`	optional	Аккаунт защищён 2FA. Запросите код у пользователя и повторите.
`ACCOUNT_FROZEN`	`423`	optional	Compliance-hold. Связь — admin@fin-os.io.
`EMAIL_NOT_VERIFIED`	`403`	optional	Требуется верификация email перед логином (опционально, включается админом).

✦

Refresh-токенов нет

Sanctum использует «long-lived» bearer tokens. Если вам нужна стратегия обновления — храните дату из expires_at и за неделю до истечения попросите пользователя залогиниться повторно.

# Базовый логин curl -X POST https://fin-os.io/api/mobile/login \ -H "Content-Type: application/json" \ -d '{ "email": "you@example.com", "password": "SuperSecret123", "device_name": "iPhone 15" }' # Если включён 2FA — повторите с two_factor_code curl -X POST https://fin-os.io/api/mobile/login \ -H "Content-Type: application/json" \ -d '{ "email": "you@example.com", "password": "SuperSecret123", "two_factor_code": "123456" }'

async function login(email, password, twoFactorCode = null) { const res = await fetch('https://fin-os.io/api/mobile/login', { method: 'POST', headers: { 'Content-Type': 'application/json', 'Accept': 'application/json' }, body: JSON.stringify({ email, password, ...(twoFactorCode && { two_factor_code: twoFactorCode }), device_name: navigator.userAgent.substring(0, 80), }), }); const body = await res.json(); if (body.error_code === 'TWO_FACTOR_REQUIRED') { const code = await promptUser2FA(); return login(email, password, code); } if (!res.ok) throw new Error(body.message); return body.data; }

$response = Http::acceptJson()->post('https://fin-os.io/api/mobile/login', [ 'email' => 'you@example.com', 'password' => 'SuperSecret123', 'device_name' => 'Laravel Service', ]); if ($response->status() === 422 && $response->json('error_code') === 'TWO_FACTOR_REQUIRED') { // Запросите код у пользователя и повторите $response = Http::acceptJson()->post('https://fin-os.io/api/mobile/login', [ 'email' => 'you@example.com', 'password' => 'SuperSecret123', 'two_factor_code' => $code, ]); } $token = $response->json('data.token');

import requests def login(email, password, two_factor_code=None): payload = { 'email': email, 'password': password, 'device_name': 'Python Client', } if two_factor_code: payload['two_factor_code'] = two_factor_code r = requests.post( 'https://fin-os.io/api/mobile/login', json=payload, headers={'Accept': 'application/json'}, ) body = r.json() if body.get('error_code') == 'TWO_FACTOR_REQUIRED': code = input('Enter 2FA code: ') return login(email, password, code) r.raise_for_status() return body['data'] session = login('you@example.com', 'SuperSecret123') print('Token:', session['token'])