Pular para o conteúdo principal

Login com Single Use Token (2FA por e-mail)

O plugin Login com Single Use Token adiciona uma camada de autenticação de dois fatores (2FA) ao login de operadores do ACCELERO. Quando habilitado para um operador, após digitar usuário e senha corretamente, o login não é concluído de imediato: o sistema envia um link de acesso único para o e-mail do operador. Só ao clicar nesse link o acesso ao sistema é efetivado.

O fator adicional é o Single Use Token — um código aleatório de uso único e com validade curta, embutido em um link enviado por e-mail. Isso garante que, mesmo que a senha seja comprometida, o login só se completa por quem tem acesso à caixa de e-mail do operador.

Disponibilidade

Esta funcionalidade é disponibilizada como plugin (singleusetoken) e precisa ser instalada e habilitada pela equipe técnica da IONGRADE. Consulte o suporte para verificar compatibilidade com a sua versão do ACCELERO.

Compatibilidade

Versão atual do plugin: 0.0.1 — compatível com ACCELERO 2.16.8 ou superior.


O que o plugin faz

FuncionalidadeO que acontece no ACCELERO
2FA por operadorAdiciona a opção Login com Single Use Token no cadastro de cada operador; o segundo fator vale apenas para os operadores marcados
Envio de link por e-mailApós usuário e senha corretos, gera um token de uso único e envia um link de acesso para o e-mail do operador
Conclusão do login pelo linkO login só é efetivado quando o operador clica no link recebido, dentro do prazo de validade
Token de uso único e expirávelO token é descartado após o primeiro uso e expira automaticamente em pouco tempo
Benefício principal

Protege contas sensíveis (administradores, operadores com acesso a dados críticos) contra acesso indevido mesmo em caso de senha vazada, sem depender de aplicativos autenticadores externos — basta o e-mail do operador.


Habilitar o 2FA para um operador

Caminho de acesso: Operadores > Editar

No formulário de edição do operador, o plugin adiciona o controle Login com Single Use Token (um botão de alternância liga/desliga), exibido logo após o campo de habilitação do operador.

CampoDescrição
Login com Single Use TokenQuando ativado, o operador passa a exigir o segundo fator (link por e-mail) a cada login. Quando desativado, o login segue o fluxo padrão (apenas usuário e senha)
TODO: Adicionar Screenshot

Formulário de edição do operador (Operadores > Editar) com o botão de alternância Login com Single Use Token em destaque.

E-mail do operador é obrigatório

O link de acesso é enviado para o e-mail cadastrado no operador. Operadores com 2FA habilitado precisam ter um e-mail válido no cadastro — sem e-mail, o operador não recebe o link e não consegue concluir o login.


Como funciona o login com Single Use Token

Para um operador com a opção habilitada, o login passa a ter duas etapas:

  1. Usuário e senha — o operador informa as credenciais normalmente na tela de login.
  2. Geração e envio do token — validadas as credenciais, o sistema gera um token aleatório de uso único, monta um link de acesso e envia por e-mail para o operador. A tela exibe a mensagem:

    "Um link de acesso foi enviado para seu e-mail. Clique no link para acessar o sistema."

  3. Conclusão pelo link — o operador abre o e-mail (assunto "Link de acesso") e clica no botão ACESSAR ACCELERO. O sistema valida o token e, se válido, efetiva a sessão e redireciona para a tela principal.
TODO: Adicionar Screenshot

Tela de login exibindo a mensagem "Um link de acesso foi enviado para seu e-mail. Clique no link para acessar o sistema." após o operador informar usuário e senha.

TODO: Adicionar Screenshot

E-mail recebido pelo operador, com o assunto "Link de acesso" e o botão ACESSAR ACCELERO.

Validade e uso único do token

CaracterísticaComportamento
Uso únicoO token é invalidado imediatamente após ser usado. Um mesmo link não funciona duas vezes
ExpiraçãoO token tem validade curta (por padrão, 60 segundos após a geração). Expirado o prazo, o link deixa de funcionar
Link inválido ou expiradoAo acessar um link inválido, já usado ou expirado, o sistema não efetiva o login e redireciona para a tela inicial (/), sem mensagem de erro específica
Prazo curto de validade

O link tem validade de poucos segundos por padrão. Oriente os operadores a abrir o e-mail e clicar no link imediatamente após receberem. Se o prazo expirar, basta refazer o login (usuário e senha) para gerar um novo link.

Configuração do prazo de validade

O tempo de validade do token é definido no código do plugin (60 segundos na versão atual) e não há tela de configuração para ajustá-lo. Alterações dependem da equipe técnica da IONGRADE.


Casos de uso

Exigir 2FA para administradores

  1. Solicitar à IONGRADE a instalação do plugin singleusetoken.
  2. Confirmar que os operadores administradores têm e-mail válido cadastrado.
  3. Em Operadores > Editar, ativar Login com Single Use Token para cada operador que deve usar o segundo fator.
  4. Salvar. No próximo login, esses operadores receberão o link de acesso por e-mail.

Login do dia a dia de um operador protegido

  1. O operador informa usuário e senha na tela de login.
  2. Recebe a mensagem de que um link foi enviado ao seu e-mail.
  3. Abre o e-mail "Link de acesso" e clica em ACESSAR ACCELERO.
  4. É redirecionado já autenticado para a tela principal do ACCELERO.

Boas práticas

  • E-mail confiável e atualizado: garanta que o e-mail do operador esteja correto e acessível antes de habilitar o 2FA — é por ele que o segundo fator chega.
  • Aplicar a contas sensíveis: ative o recurso preferencialmente para perfis com acesso administrativo ou a dados críticos, em vez de todos os operadores.
  • Servidor de e-mail operante: como o login depende do envio de e-mail, verifique que o ACCELERO está enviando mensagens corretamente antes de habilitar o recurso em massa.
  • Clicar rápido: oriente os operadores a usar o link assim que recebido, devido à validade curta do token.

Troubleshooting

Possíveis causas:

  • E-mail ausente ou incorreto no cadastro do operador
  • Servidor/serviço de e-mail do ACCELERO indisponível ou mal configurado
  • Mensagem caiu em spam/lixo eletrônico

Solução:

  1. Confira o e-mail cadastrado em Operadores > Editar.
  2. Verifique a configuração de envio de e-mail do ACCELERO.
  3. Peça ao operador para checar a pasta de spam.

Possíveis causas:

  • O link já foi usado (uso único)
  • O prazo de validade expirou
  • O link foi alterado/truncado ao copiar do e-mail

Solução:

  1. Refaça o login (usuário e senha) para gerar um novo link.
  2. Clique no link imediatamente após recebê-lo.
  3. Use o botão ACESSAR ACCELERO do e-mail em vez de copiar a URL manualmente.

O operador faz login direto, sem receber e-mail

Possíveis causas:

  • A opção Login com Single Use Token não está ativada para esse operador

Solução:

  1. Em Operadores > Editar, confirme que o botão Login com Single Use Token está ligado.
  2. Salve e teste novamente.

Integração com outros módulos

Operadores

O 2FA é configurado por operador no cadastro de Operadores. A opção Login com Single Use Token é armazenada como um atributo do operador e o e-mail usado no envio do link é o e-mail desse mesmo cadastro.


Próximos Passos

  • Operadores — Habilite o 2FA por operador e mantenha o e-mail atualizado
  • Plugins — Saiba mais sobre o sistema de plugins do ACCELERO