А её вот и не хватает.
Всем привет.

Берём гипотетический сайт, где надо произвести действия от имени кошелька.

Теоретический план:

1. На сайте есть QR код, который нужно отсканировать через программу TON Surf после ввода ПИН кода.
2. TON Surf запрашивает согласие, с указанием домена сайта и кратким описанием (домен и описание внутри QR кода должны быть), после чего отправляет ответ (сессионный хэш пользователя на сайте из QR кода + кошелёк) на сервер сайта по вложенной ссылке из того же QR кода (домен в ссылке на отправку конечно должен совпадать с доменом сайта).
3. В это время сайт каждую секунду в течение 3 минут пытается получить ответ с сервера с сессионым хэшом пользователя. После получения положительного ответа сайт заполняет кукисы и открывает кнопки действий от кошелька пользователя.
4. В случае 3-х минутного таймаута или отрицательного ответа, сайт перегенерит QR с новым сессионым хэшем.

В QR надо ещё засунуть стандартизированную метку, которую TON Surf должен опознать что бы начать авторизацию.

От всяких ботов можно продумать защиту в виде авторизации с транзакцией. Под QR кодом картинкой указывать рандомную сумму в виде каптчи, которую необходимо перевести по кошельку сайта с последующим возвратом (как прикрепляются карточки банковские к эквайрингу) для первичной активации кошелька на сайте.