Не уверен что ты имел ввиду это, но если тебе нужна авторизация как в дискорде, например, то тебе для начала нужно oauth2 авторизацию реализовать, после этого уже делать авторизацию с помощью qr. Сама по себе авторизация пользователя по qr очень проста — создаются методы в апи, один отвечает за создание сессии-запроса и возвращает url до апи метода авторизации или токен для авторизации, детально реализовать защиту от перехода из внешних приложений, на стороне сервера и клиента(проверять запрос на авторизацию на сервере, и добавлять в токен соль). Далее из url или токена создаётся qr, который и отображается пользователю. А со стороны устройства, на котором сканируется qr, происходит расшифровка токена(если нужно) и отправляется запрос к апи, по url или токену из qr, и сервер авторизует сессию, которая уже была создана на устройстве, где был сгенерирован qr. Текста много, но сама идея простейшая, поэтому нужно только подумать.