Portuno

Aplicação de autenticação que implementa autenticação multifator (MFA) com geração de senhas de uso único e temporárias (OTP). Ele garante a autenticidade de transações através de tokens criptografados com segredos compartilhados.

Fluxo de autorização

Figura 1. Fluxo de autorização

1. Entrada de Dados no Terminal

O portador insere o CPF e o Token no Terminal de Pagamento (POS/Pinpad).

2. Envio de Dados para o PDV/TEF

O terminal encaminha o CPF e o Token para o PDV/TEF.
O PDV/TEF monta uma transação com os dados do portador e envia para a Processadora de Pagamentos.

3. Validação do Token no Portuno

A Processadora encaminha o CPF e o Token para o Portuno.

O Portuno valida a autenticidade do Token:

Se o Token for válido: O Portuno retorna uma aprovação para a Processadora.

Se o Token for inválido: O Portuno retorna uma negação com o erro Token Inválido.

4. Encaminhamento para Autorização

Em caso de aprovação do Token:

A Processadora envia a transação para autorização junto à bandeira ou ao emissor.

Em caso de negação do Token:

A transação é rejeitada pelo PDV com a mensagem de erro apropriada.

5. Resultado da Transação

Aprovada: A transação segue para conclusão no terminal.

Negada: O terminal exibe uma mensagem indicando que a transação foi recusada devido a um Token Inválido.

Fluxo entre o APP e o Portuno

Figura 2. Fluxo do APP com Portuno

O fluxo de autenticação segue as etapas mostradas na imagem acima e descritas abaixo:

1. APP faz autenticação no Horizon

O APP solicita a autenticação e recebe o token JWT.

2. Consulta Cartões do Portador

O APP consulta os cartões do portador via Horizon e recebe os dados dos cartões.

3. Verificação do Secret no Portuno

O Portuno consulta se o CPF e o produto (Emissor + ID) já têm um secret cadastrado.

Se o secret existir:

O token é gerado com base nesse secret, e o fluxo transacional segue via API/PDV.

Se o secret não existir:

O Portuno cadastra a conta e recebe um novo secret.

O token é gerado a partir do novo secret, e o fluxo transacional segue.

Jornada de Autenticação

O portador realiza uma transação em uma aplicação (ex: APP) protegida pelo Portuno.

O APP solicita ao Code Generator (CG) a criação ou atualização de uma conta, recebendo um secret.

O APP gera um token criptografado usando o secret compartilhado.

A transação é enviada ao autorizador (ex: RPE), que encaminha a solicitação de confirmação ao Portuno, contendo o identificador da conta e o token gerado.

O Portuno decriptografa o token, valida se o secret é correto e autoriza ou nega a transação.

O resultado da autorização é retornado ao APP, que informa o portador sobre o sucesso ou falha da transação.

O Code Generator (CG) é o componente responsável por solicitar o cadastro de contas, criar e atualizar os secrets dessas contas. Além disso, ele gera tokens de autorização usados no processo de autenticação multifator (MFA).

Para garantir uma verificação correta, a configuração do TOTP deve ser idêntica tanto no Portuno quanto no CG. Isso inclui parâmetros como o número de caracteres do código e o tempo de expiração, assegurando que ambos os sistemas estejam sincronizados e a autenticação funcione corretamente.

Endpoints

Integração

Tipo	Endpoint	Descrição
GET	/api/v1/portuno/integrations	Lista as integrações cadastradas

Conta

Tipo	Endpoint	Descrição
POST	/api/v1/portuno/accounts	Cadastra uma conta
PUT	/api/v1/portuno/accounts	Troca o secret de uma conta
GET	/api/v1/portuno/accounts	Lista as contas

Casos de uso

A seguir, detalhamos os principais casos de uso na Jornada de lançamentos, explicando como cada operação é realizada através das API.

Criar uma conta

Use este endpoint para criar uma conta Portuno.

Exemplo de request body :

{
  
  "integration": "Teste",
  "externalId": "velho",
  "issuer": "Sandbox"

 
}'

Exemplo de response:


 {
  
    id": 12,
    "externalId": "velho",
    "secret": "X5OWXEE3TNCKV4WA",
    "qrUri": "otpauth://totp/Teste%3Avelho?secret=X5OWXEE3TNCKV4WA&issuer=Teste&algorithm=SHA1&digits=6&period=30",
    "status": "ACTIVE",
    "createdAt": "2025-01-21"
 }

Listar contas

Use este endpoint para listar as contas já cadastradas.

Exemplo de Query Parameters :

Utilize os seguintes query parameters externalId: "TESTE", issuer: "Sandbox" productId: "1" para listar as contas.

Exemplo de response:

[
    {
        "id": 2,
        "externalId": "TESTE",
        "secret": "S2KHY4LMMLVJFWK5",
        "qrUri": "otpauth://totp/Teste%3ATESTE?secret=S2KHY4LMMLVJFWK5&issuer=Teste&algorithm=SHA1&digits=6&period=30",
        "status": "ACTIVE",
        "createdAt": "2024-08-14"
    }
]

Trocar o segredo da conta

Use este endpoint para trocar o segredo de uma conta já cadastrada.

Exemplo de request body :

{
  
  "integration": "Teste",
  "externalId": "Novo",
  "issuer": "Sandbox"

 
}

Exemplo de response:

{
    "id": 2,
    "externalId": "TESTE",
    "secret": "TU2QF4BCBQBGFNV5",
    "qrUri": "otpauth://totp/Teste%3ATESTE?secret=TU2QF4BCBQBGFNV5&issuer=Teste&algorithm=SHA1&digits=6&period=30",
    "status": "ACTIVE",
    "createdAt": "2025-01-21"
}

Listar integrações

Use este endpoint para listar integrações já cadastradas.

Exemplo de Query Parameters :

Utilize o seguinte query parameters nomeEmissor: "Sandbox" para listar todas as integrações com esse emissor.

Exemplo de response:

[
    {
        "id": 2,
        "description": "Teste",
        "integration": "Teste",
        "issuer": "Sandbox",
        "active": true,
        "productId": 1,
        "token": {
            "digits": 6,
            "period": 30
        }
    },
    {
        "id": 3,
        "description": "Descricao",
        "integration": "Integracao",
        "issuer": "Sandbox",
        "active": true,
        "productId": 2,
        "token": {
            "digits": 6,
            "period": 30
        }
    },
    {
        "id": 4,
        "description": "NewDescricao",
        "integration": "NewIntegracao",
        "issuer": "Sandbox",
        "active": true,
        "productId": 2,
        "token": {
            "digits": 6,
            "period": 30
        }
    },
    {
        "id": 5,
        "description": "NewDescricao",
        "integration": "NovoIntegracao",
        "issuer": "Sandbox",
        "active": true,
        "productId": 2,
        "token": {
            "digits": 6,
            "period": 30
        }
    },
    {
        "id": 6,
        "description": "NewDescricao",
        "integration": "Novo",
        "issuer": "Sandbox",
        "active": true,
        "productId": 2,
        "token": {
            "digits": 6,
            "period": 30
        }
    },
    {
        "id": 1,
        "description": "Integration Sandbox",
        "integration": "Integration Sandbox",
        "issuer": "Sandbox",
        "active": true,
        "productId": 1,
        "token": {
            "digits": 6,
            "period": 30
        }
    },
    {
        "id": 7,
        "description": "n",
        "integration": "I",
        "issuer": "Sandbox",
        "active": true,
        "productId": 2,
        "token": {
            "digits": 6,
            "period": 20
        }
    },
    {
        "id": 8,
        "description": "NewDescricao",
        "integration": "teste",
        "issuer": "Sandbox",
        "active": true,
        "productId": 2,
        "token": {
            "digits": 6,
            "period": 30
        }
    }
]

Os endpoints irão retornar os dados que podem ser acessados de acordo com suas credenciais de autenticação. Para mais informações, visite a página de autenticação.

Serviços relacionados

API Portuno

Materiais relacionados

Como testar endpoints através do Tote

Diretrizes básicas do Horizon

Respostas e possíveis erros

Fluxo de autorização#

1. Entrada de Dados no Terminal#

2. Envio de Dados para o PDV/TEF#

3. Validação do Token no Portuno#

4. Encaminhamento para Autorização#

5. Resultado da Transação#

Fluxo entre o APP e o Portuno#

1. APP faz autenticação no Horizon#

2. Consulta Cartões do Portador#

3. Verificação do Secret no Portuno#

Se o secret existir:#

Se o secret não existir:#

Jornada de Autenticação#

Endpoints#

Integração#

Conta#

Casos de uso#

Serviços relacionados#

Materiais relacionados#

Fluxo de autorização

1. Entrada de Dados no Terminal

2. Envio de Dados para o PDV/TEF

3. Validação do Token no Portuno

4. Encaminhamento para Autorização

5. Resultado da Transação

Fluxo entre o APP e o Portuno

1. APP faz autenticação no Horizon

2. Consulta Cartões do Portador

3. Verificação do Secret no Portuno

Se o secret existir:

Se o secret não existir:

Jornada de Autenticação

Endpoints

Integração

Conta

Casos de uso

Serviços relacionados

Materiais relacionados