Login por email/CPF/CNPJ e senha

POST 
/user/signin/local

Endpoint público. Autentica o usuário na conta identificada pelo subdomínio. Aceita login por email ou por CPF/CNPJ no mesmo campo email. Aplica regras de expiração de senha (parametrização Validade da Senha (Dias)), bloqueio temporário após 3 tentativas falhas (10 minutos) e MFA quando habilitado para o usuário (MFAEnabled). Em MFA email, dispara o envio de um código de 6 dígitos (válido por 5 minutos); em MFA totp, valida o código informado em mfacode ou retorna a URL de cadastro OtpAuthUrl quando o segredo ainda não foi gerado. Email com domínio @idworks.com.br tem acesso a todas as contas (exceto a conta idw).

Request

Responses

200

Login concluído ou desafio de MFA emitido. Conforme o estado, o corpo é um UserSigninResponse (sucesso, com token JWT) ou um UserSigninMFAChallenge (cadastro/desafio de MFA pendente).

400

Requisição inválida. Mensagens conhecidas:

• [BadRequest] - Login informado não é um email válido nem documento
• [BadRequest] - Erro ao enviar código por email
• [BadRequest] - Erro ao validar expiração de senha
• [BadRequest] - Retornar em instantes (sistema temporariamente travado).

404

[NotFound] Verificar usuário, senha e subdomíno (url) — usuário sem senha cadastrada.