Conta e Acesso

Cadastro e Login

8 visualizações Atualizado em

Cadastro e Login

Resumo

O P8W oferece um sistema de autenticação unificado em app/Auth/ e app/User/Controllers/AuthController.php, com múltiplos métodos de acesso (senha, 2FA, magic link, biometria/WebAuthn, QR Code, push, PIN, padrão, selfie, security token e OAuth social).

Para quem é (personas)

  • Visitantes que desejam criar conta (/register).
  • Usuários cadastrados que precisam acessar (/login).
  • Usuários em recuperação de senha.
  • Admins que configuram políticas de registro em

/admin/settings/users/registration.

O que você pode fazer

Registro de Conta (/register)

  • Cadastrar-se com email, senha, nome e aceite de termos/LGPD.
  • Validação em tempo real de email (/api/register/check-email) e

telefone (/api/register/check-phone).

  • Código de indicação via /api/register/validate-referral para vincular a

um afiliado.

  • CAPTCHA nativo via /api/captcha/refresh (anti-bot).
  • Redirects legados: /signup e /auth/signup redirecionam 301 para

/register (SEO-safe).

Verificação de E-mail

  • Enviar link de verificação para o email informado no cadastro.
  • Reenviar verificação: /resend-verification.
  • Alterar email antes de verificar: /update-email-before-verification.

Métodos de Login

MétodoRotaDescrição
Senha + email/loginLogin tradicional
Social OAuth/auth/social/{provider}Google, Facebook, Apple, GitHub, etc.
Magic Link/login/verifyLink por email sem senha
2FA/auth/two-factorApós login com senha
OTP por email/SMS/login/verify-tokenCódigo de 6 dígitos
Biometria (WebAuthn)/biometric-loginPasskeys/FIDO2
Security Key/security-key-loginChaves físicas (YubiKey, etc.)
QR Code/qrcode-loginEstilo WhatsApp Web
Push Notification/push-loginAprovação no celular
Selfie/selfie-loginReconhecimento facial
PIN Code/pin-loginCódigo numérico curto
Padrão de desbloqueio/pattern-loginPadrão gráfico
Security Token/token-loginToken de 16 caracteres
Link compartilhado/auth/share/{token}Acesso via link

Recuperação de Senha

  • /forgot-password — inicia fluxo por email.
  • /verify-otp — verifica código.
  • /reset-password — define nova senha.

Logout

  • /logout (GET ou POST) — encerra sessão e limpa cookies.

Como acessar

Cadastro

  1. Acesse /register (ou clique em Criar conta na tela de login).
  2. Preencha email, senha forte, nome e aceite os termos.
  3. Confirme o email clicando no link enviado para sua caixa de entrada.
  4. Após confirmar, acesse /dashboard.

Login

  1. Acesse /login.
  2. Escolha o método preferido (padrão: email + senha).
  3. Se 2FA estiver habilitado, informe o código.
  4. Será redirecionado para /dashboard.

Tutoriais

Cadastrar-se com conta Google

Objetivo: Criar conta sem precisar lembrar de senha.

Passos:

  1. Em /login ou /register, clique em Entrar com Google.
  2. Autorize o acesso na tela do Google.
  3. O callback /auth/callback/google cria a conta e faz login.

Habilitar Passkeys (biometria)

Objetivo: Usar biometria (digital/face) no próximo login.

Passos:

  1. Faça login com senha.
  2. Acesse /dashboard/profile?tab=security.
  3. Em Passkeys, clique em Registrar nova credencial.
  4. Aprove no dispositivo (Touch ID, Windows Hello, etc.).
  5. No próximo login, use /biometric-login.

Recuperar senha esquecida

Objetivo: Redefinir senha por email.

Passos:

  1. Em /login, clique em Esqueci minha senha.
  2. Informe o email e clique Enviar.
  3. Abra o email e copie o código OTP.
  4. Em /verify-otp, cole o código.
  5. Em /reset-password, defina a nova senha.

Integrações

OAuth Providers suportados

Configurados em app/Core/Accounts/Services/ProviderAdapterService.php:

  • Google (PKCE opcional)
  • Microsoft / Microsoft Teams (PKCE opcional)
  • Apple (PKCE opcional; Sign In with Apple)
  • Facebook e Instagram
  • GitHub
  • Twitter (PKCE obrigatório)
  • TikTok (PKCE obrigatório, usa client_key)

WebAuthn / FIDO2

  • Registro: /api/webauthn/register/options + /api/webauthn/register/verify.
  • Login: /api/webauthn/login/options + /api/webauthn/login/verify.

QR Code e Push

  • Desktop gera QR via /api/qr-auth/generate e faz polling em /api/qr-auth/status.
  • Mobile aprova em /qr-login.

Perguntas frequentes

Preciso confirmar o email para usar o sistema? Sim. O cadastro exige verificação de email antes de liberar todas as funcionalidades.

O que é uma Passkey? É uma credencial baseada em biometria ou chave de segurança (padrão WebAuthn). Substitui senha e é imune a phishing.

Posso usar QR Code no login a qualquer momento? Sim, se o método estiver habilitado. No desktop, em /qrcode-login, escaneie com o app/mobile já logado.

Perdi acesso ao meu 2FA. Como entrar? Use os códigos de recuperação salvos no momento da ativação. Sem eles, abra um ticket em /dashboard/support.

Como vincular um afiliado no cadastro? Passe o código na URL (ex: /register?ref=ABC123). O sistema valida via /api/register/validate-referral e registra a comissão.

O P8W suporta Single Sign-On corporativo? Parcial. OAuth2 com Microsoft/Google cobre a maioria dos casos. SAML dedicado é roadmap.

Posso bloquear login por IP? Rate limiting progressivo e bloqueio temporário após N tentativas são aplicados automaticamente via middleware de segurança.

Limitações e políticas

  • Senha forte obrigatória (tamanho mínimo, mix de caracteres) conforme

política em /admin/settings/users/registration.

  • Captcha após tentativas falhas.
  • Regeneração de Session ID no login para prevenir fixation.
  • Cookies com flags HttpOnly, Secure, SameSite.
  • Aliases legados /signup e /auth/signup retornam HTTP 301 (não 302)

para preservar SEO.

Relacionados

  • Meu Perfil
  • Segurança e Privacidade
  • API Keys e Integrações
  • LGPD e Privacidade de Dados

Este artigo foi útil?

Perguntas e Respostas

Nenhuma pergunta ainda. Seja o primeiro a perguntar!

Tem uma dúvida sobre este artigo?

CAPTCHA

Sua pergunta será publicada após aprovação. O e-mail é usado apenas para notificação da resposta.