Сегодня думал как ограничить пользователя пока он не введет второй фактор при логине, естественно, если он у него включен. В jwt токен вносим поле, что нужен второй фактор, а рефреш токен не вносим в базу. В итоге имеем очень простой и эффективный способ ограничения без возможности обхода. Пока второй фактор не будет введен никуда не пролезешь, а при попытке обновить токен получишь болт, так как рефреша в базе нет.