在手机上设置身份验证器应用程序时的 QR 码 VS OtpAuth 链接

Question

我们的网站可以从桌面和移动设备打开。当用户在桌面上设置 MFA 时，他们可以使用手机摄像头直接从 PC 屏幕扫描 QR 码。但是，当他们登录移动设备时，他们很难在当前使用的同一设备上扫描二维码。我在帐户设置中检查了 Google 的做法（通过 Android 上的 Chrome 登录）：

因此，默认情况下，他们建议扫描二维码，但当我单击“我不能”时，他们建议我自己复制粘贴秘密。

但为了确保他们跟踪用户是从移动设备登录的，为什么他们不只显示 otpauth:// 链接呢？我尝试在我的应用程序中执行此操作，它的工作方式就像一个魅力（至少在 Android 上，现在无法在 iPhone 上检查，但如果您有机会在 iPhone 上测试它，这里有一个示例链接）：

otpauth://totp/test@example.com?secret=wonttellyouthat&algorithm=SHA1&digits=6&period=30&issuer=superwebsite

upd：SOF 不会使其可点击 - 一定是出于安全原因，但在我的网站上我可以毫无问题地执行此操作。当选中“请求桌面站点”复选框时，将其包装到 Android 上的 Chrome 中的代码片段中即可：

<a href="otpauth://totp/test@example.com?secret=wonttellyouthat&algorithm=SHA1&digits=6&period=30&issuer=superwebsite">otpauth://totp/test@example.com?secret=wonttellyouthat&algorithm=SHA1&digits=6&period=30&issuer=superwebsite</a>

点击它，Android 会建议我可以使用 Microsoft 或 Google 身份验证器，这意味着 Google 的应用程序支持此技巧。我还安装了 LastPass，但那个并没有弹出。

在我看来，这个解决方案对用户更加友好，并且很好奇为什么谷歌不允许用户这样做？一定有一些我没有考虑到的陷阱吗？