2FA
Sobre o produto
A Zoop-2FA é uma API que provê um sistema de autenticação de múltiplos fatores que pode ser utilizado em apps (IOS, Android) ou sistemas para aumentar o nível de segurança, seja para acesso/login ou a execução de determinadas tarefas/operações, fazendo uma autenticação cruzada através de token por email previamente cadastrado ou SMS para um telefone celular também previamente cadastrado.
Como utilizar
Para poder utilizar o 2FA o acesso deve ser requerido junto a Zoop em [email protected].
Serão previamente cadastrados na API o nome da sua empresa(Company) e o nome da(s) sua(s) aplicação(ões), e informações como as mensagens a serem enviadas por SMS. Também é necessário informar um IP para o cadastro.
Você receberá as credenciais:
- Produção
A credencial é composta por duas chaves:
- CompanyToken
- SecretKey
A utilização de um desses pares lhe dará acesso ao respectivo ambiente e chamadas da API após o login.
Um par de chaves é semelhante a isso:
- CompanyToken=75WmEprYx8kS3XDnkyOlVOqjBLZ693GvGGhkG1TUjrKcFlNPNC
- CompanySecretKey=klu3UWMcR89Kl9mcixyzyNzA89ZD8UL5ZoCnDg0hbRqcNSrs9c
É extremamente importante manter esses pares de credenciais em sigilo e segurança, caso contrário a segurança da sua autenticação será comprometida. Caso isso ocorra contate nos o mais rápido possível, para que possamos gerar um novo SecretKey impedido a acesso indesejado ao sistema.
Sequencia de chamadas - Primeira vez
Fase 1 - Registro de dispositivo e criação de sessão via SMS
A fase 1 consiste no registro e criação de sessão que serão validados exclusivamente por recebimento de SMS.
1 - Realizar o login;
A aplicação precisa fazer o login no Zoop-2FA para poder iniciar a sequência de chamadas do 2FA;
2 - Obter dados da empresa;
Buscar o application token para ser utilizado na próxima chamada.
3 - Cadastro o telefone do usuário;
Para a primeira solicitação de envio o telefone em uma aplicação da empresa, é necessário fazer o registro do dispositivo. Para isso, ao receber a solicitação, o Zoop-2FA envia um código para o dispositivo ser validado.
4 - Validação do telefone do usuário;
O código enviado no item 3 precisa ser validado para efetivar o registro do dispositivo (telefone celular).
5 - Solicita sessão de usuário com telefone;
Quando a aplicação solicitar o envio de um código do 2FA para um dispositivo, é solicitada a criação da sessão.
6 - Envio de SMS com token para o usuário;
O Zoop-2FA envia para o dispositivo um código (código 2FA) gerado por ele.
7 - Valida a sessao "código 2FA" pelo usuário no app ou sistema cliente;
A aplicação precisa solicitar ao usuário que informe este "código 2FA" que o usuário recebeu no dispositivo solicitado e enviar para o Zoop-2FA.
Fase 2 - Registrar usuário no TOTP
A fase 2 consiste no registro do usuário que previamente já possui acesso via recebimento de SMS, em uma forma que possibilita a geração de códigos de validação para utilização do 2FA.
8 - Geração de chave pública e chave privada
Leia o artigo sobre TOTP para entender como gerar as chaves pública e privada
9 - Cadastra o usuário no TOTP
Para que ocorra esse registro, o usuário deve ter uma sessão validada na Fase 1
10 - Realiza procedimentos com a Seed retornada
Realizar tratamentos com a Seed retornada para usar na validação. Leia o artigo TOTP para entender sobre a Seed
11 - Validação cadastro do usuário no TOTP
A aplicação necessita receber as informações para confirmar o código 2FA
12 - Solicita a sessão do usuário com TOTP
Quando a aplicação solicitar a geração do código do 2FA
13 - Validar a sessão do usuário com TOTP
Para acontecer essa validação é necessário repetir os passos de 8 a 10 e confirmar o código 2FA
Sequencia de chamadas - A partir da segunda vez
Para usuários validados somente na Fase 1
Realizar os passos 1, 5, 6 e 7
Para usuários validados até a Fase 2
Realizar os passos 1, 8, 12, 10 e 13
Updated 8 months ago