**Sobre o produto**

A Zoop-2FA é uma API que provê um sistema de autenticação de múltiplos fatores que pode ser utilizado em apps (IOS, Android) ou sistemas para aumentar o nível de segurança, seja para acesso/login ou a execução de determinadas tarefas/operações, fazendo uma autenticação cruzada através de token por email previamente cadastrado ou SMS para um telefone celular também previamente cadastrado.

**Como utilizar**

Para poder utilizar o 2FA o acesso deve ser requerido junto a Zoop em [[email protected].](🔗)

Serão previamente cadastrados na API o nome da sua empresa(Company) e o nome da(s) sua(s) aplicação(ões), e informações como as mensagens a serem enviadas por SMS e ou email.

**Você receberá dois pares de credenciais: **

  • Sandbox(desenvolvimento e testes)

  • Produção

**Cada par é composto por duas chaves: **

  • CompanyToken

  • SecretKey

A utilização de um desses pares lhe dará acesso ao respectivo ambiente e chamadas da API após o login.

**Um par de chaves é semelhante a isso: **

  • CompanyToken=75WmEprYx8kS3XDnkyOlVOqjBLZ693GvGGhkG1TUjrKcFlNPNC

  • CompanySecretKey=klu3UWMcR89Kl9mcixyzyNzA89ZD8UL5ZoCnDg0hbRqcNSrs9c



É extremamente importante manter esses pares de credenciais em sigilo e segurança, caso contrário a segurança da sua autenticação será comprometida. Caso isso ocorra contate nos o mais rápido possível, para que possamos gerar um novo SecretKey impedido a acesso indesejado ao sistema.

**Sequencia de chamadas**

**Fase 1 - Registro de dispositivo**

1 - **Realizar o login;** A aplicação precisa fazer o login no Zoop-2FA para poder iniciar a sequência de chamadas do 2FA;

2 - **Cadastro de e-mail/telefone do usuário; ** Para a primeira solicitação de envio para e-mail ou telefone em uma aplicação da empresa, é necessário fazer o registro do dispositivo. Para isso, ao receber a solicitação, o Zoop-2FA envia um código para o dispositivo ser validado.

3 - **Validação/confirmação do e-mail e/ou telefone do usuário; ** O código enviado no item 2 precisa ser validado para efetivar o registro do dispositivo (e-mail ou telefone celular).

**Fase 2 - Autenticação 2FA no dia-a-dia **

4 - **Criação de sessão de usuário com e-mail ou telefone; ** Quando a aplicação solicitar o envio de um código do 2FA para um dispositivo, é solicitada a criação da sessão.

5 - **Envio de SMS ou e-mail com token para o usuário; ** O Zoop-2FA envia para o dispositivo um código (código 2FA) gerado por ele.

6 - **Confirmação "código 2FA" pelo usuário no app ou sistema cliente; ** A aplicação precisa solicitar ao usuário que informe este "código 2FA" que o usuário recebeu no dispositivo solicitado e enviar para o Zoop-2FA.

7 - **Verificação do sistema cliente da validade do token; **

8 - **O Zoop-2FA valida este "código 2FA" recebido,** retornando se é um código válido para o dispositivo ou não.