Login com Single Use Token (2FA por e-mail)
O plugin Login com Single Use Token adiciona uma camada de autenticação de dois fatores (2FA) ao login de operadores do ACCELERO. Quando habilitado para um operador, após digitar usuário e senha corretamente, o login não é concluído de imediato: o sistema envia um link de acesso único para o e-mail do operador. Só ao clicar nesse link o acesso ao sistema é efetivado.
O fator adicional é o Single Use Token — um código aleatório de uso único e com validade curta, embutido em um link enviado por e-mail. Isso garante que, mesmo que a senha seja comprometida, o login só se completa por quem tem acesso à caixa de e-mail do operador.
Esta funcionalidade é disponibilizada como plugin (singleusetoken) e precisa ser instalada e habilitada pela equipe técnica da IONGRADE. Consulte o suporte para verificar compatibilidade com a sua versão do ACCELERO.
Versão atual do plugin: 0.0.1 — compatível com ACCELERO 2.16.8 ou superior.
O que o plugin faz
| Funcionalidade | O que acontece no ACCELERO |
|---|---|
| 2FA por operador | Adiciona a opção Login com Single Use Token no cadastro de cada operador; o segundo fator vale apenas para os operadores marcados |
| Envio de link por e-mail | Após usuário e senha corretos, gera um token de uso único e envia um link de acesso para o e-mail do operador |
| Conclusão do login pelo link | O login só é efetivado quando o operador clica no link recebido, dentro do prazo de validade |
| Token de uso único e expirável | O token é descartado após o primeiro uso e expira automaticamente em pouco tempo |
Protege contas sensíveis (administradores, operadores com acesso a dados críticos) contra acesso indevido mesmo em caso de senha vazada, sem depender de aplicativos autenticadores externos — basta o e-mail do operador.
Habilitar o 2FA para um operador
Caminho de acesso: Operadores > Editar
No formulário de edição do operador, o plugin adiciona o controle Login com Single Use Token (um botão de alternância liga/desliga), exibido logo após o campo de habilitação do operador.
| Campo | Descrição |
|---|---|
| Login com Single Use Token | Quando ativado, o operador passa a exigir o segundo fator (link por e-mail) a cada login. Quando desativado, o login segue o fluxo padrão (apenas usuário e senha) |
Formulário de edição do operador (Operadores > Editar) com o botão de alternância Login com Single Use Token em destaque.
O link de acesso é enviado para o e-mail cadastrado no operador. Operadores com 2FA habilitado precisam ter um e-mail válido no cadastro — sem e-mail, o operador não recebe o link e não consegue concluir o login.
Como funciona o login com Single Use Token
Para um operador com a opção habilitada, o login passa a ter duas etapas:
- Usuário e senha — o operador informa as credenciais normalmente na tela de login.
- Geração e envio do token — validadas as credenciais, o sistema gera um token aleatório de uso único, monta um link de acesso e envia por e-mail para o operador. A tela exibe a mensagem:
"Um link de acesso foi enviado para seu e-mail. Clique no link para acessar o sistema."
- Conclusão pelo link — o operador abre o e-mail (assunto "Link de acesso") e clica no botão ACESSAR ACCELERO. O sistema valida o token e, se válido, efetiva a sessão e redireciona para a tela principal.
Tela de login exibindo a mensagem "Um link de acesso foi enviado para seu e-mail. Clique no link para acessar o sistema." após o operador informar usuário e senha.
E-mail recebido pelo operador, com o assunto "Link de acesso" e o botão ACESSAR ACCELERO.
Validade e uso único do token
| Característica | Comportamento |
|---|---|
| Uso único | O token é invalidado imediatamente após ser usado. Um mesmo link não funciona duas vezes |
| Expiração | O token tem validade curta (por padrão, 60 segundos após a geração). Expirado o prazo, o link deixa de funcionar |
| Link inválido ou expirado | Ao acessar um link inválido, já usado ou expirado, o sistema não efetiva o login e redireciona para a tela inicial (/), sem mensagem de erro específica |
O link tem validade de poucos segundos por padrão. Oriente os operadores a abrir o e-mail e clicar no link imediatamente após receberem. Se o prazo expirar, basta refazer o login (usuário e senha) para gerar um novo link.
O tempo de validade do token é definido no código do plugin (60 segundos na versão atual) e não há tela de configuração para ajustá-lo. Alterações dependem da equipe técnica da IONGRADE.
Casos de uso
Exigir 2FA para administradores
- Solicitar à IONGRADE a instalação do plugin
singleusetoken. - Confirmar que os operadores administradores têm e-mail válido cadastrado.
- Em
Operadores > Editar, ativar Login com Single Use Token para cada operador que deve usar o segundo fator. - Salvar. No próximo login, esses operadores receberão o link de acesso por e-mail.
Login do dia a dia de um operador protegido
- O operador informa usuário e senha na tela de login.
- Recebe a mensagem de que um link foi enviado ao seu e-mail.
- Abre o e-mail "Link de acesso" e clica em ACESSAR ACCELERO.
- É redirecionado já autenticado para a tela principal do ACCELERO.
Boas práticas
- E-mail confiável e atualizado: garanta que o e-mail do operador esteja correto e acessível antes de habilitar o 2FA — é por ele que o segundo fator chega.
- Aplicar a contas sensíveis: ative o recurso preferencialmente para perfis com acesso administrativo ou a dados críticos, em vez de todos os operadores.
- Servidor de e-mail operante: como o login depende do envio de e-mail, verifique que o ACCELERO está enviando mensagens corretamente antes de habilitar o recurso em massa.
- Clicar rápido: oriente os operadores a usar o link assim que recebido, devido à validade curta do token.
Troubleshooting
O operador não recebe o link de acesso
Possíveis causas:
- E-mail ausente ou incorreto no cadastro do operador
- Servidor/serviço de e-mail do ACCELERO indisponível ou mal configurado
- Mensagem caiu em spam/lixo eletrônico
Solução:
- Confira o e-mail cadastrado em
Operadores > Editar. - Verifique a configuração de envio de e-mail do ACCELERO.
- Peça ao operador para checar a pasta de spam.
O link diz que não funciona / volta para a tela de login
Possíveis causas:
- O link já foi usado (uso único)
- O prazo de validade expirou
- O link foi alterado/truncado ao copiar do e-mail
Solução:
- Refaça o login (usuário e senha) para gerar um novo link.
- Clique no link imediatamente após recebê-lo.
- Use o botão ACESSAR ACCELERO do e-mail em vez de copiar a URL manualmente.
O operador faz login direto, sem receber e-mail
Possíveis causas:
- A opção Login com Single Use Token não está ativada para esse operador
Solução:
- Em
Operadores > Editar, confirme que o botão Login com Single Use Token está ligado. - Salve e teste novamente.
Integração com outros módulos
Operadores
O 2FA é configurado por operador no cadastro de Operadores. A opção Login com Single Use Token é armazenada como um atributo do operador e o e-mail usado no envio do link é o e-mail desse mesmo cadastro.
Próximos Passos
- Operadores — Habilite o 2FA por operador e mantenha o e-mail atualizado
- Plugins — Saiba mais sobre o sistema de plugins do ACCELERO