Есть ли способ выполнить 2FA, когда две серверные системы взаимодействуют через веб-API?

Когда человек заходит на веб-сайт с 2FA, он считывает сгенерированный код TOTP из приложения Google Authenticator на своем телефоне и вводит его на веб-сайт, на который он пытается войти.

Я проектирую внутреннюю интеграцию между двумя системами через веб-API. Мне неудобно просто позволить двум системам использовать один и тот же пароль шифрования. Я хочу задействовать в этом процессе что-то вроде 2FA. Очевидно, что в этом процессе не участвует ни один человек, который мог бы прочитать код из приложения-аутентификатора. Итак, каков отраслевой стандарт/рекомендуемый подход?