Garu

2026-05-04

v0.6.0 — Portal do cliente em /minha-area

portal-do-clienteminha-areamagic-linkapi

Antes, quem recebia uma cobrança agendada precisava abrir cada e-mail individualmente para chegar ao link de pagamento. Agora todo cliente Garu tem um portal próprio em garu.com.br/minha-area onde, com um único link enviado por e-mail, vê e paga todas as cobranças em aberto — inclusive em vendedores diferentes.

Como funciona

  1. O cliente acessa garu.com.br/minha-area e informa o CPF ou CNPJ.
  2. A Garu envia um link seguro para o e-mail registrado, com validade de 24 horas.
  3. Ao clicar no link, o cliente vê todas as cobranças agendadas em aberto, agrupadas por loja.
  4. Cada cobrança tem um botão Pagar agora que leva direto para a página de pagamento (PIX ou Boleto).

O link é reutilizável dentro das 24 horas, então o cliente pode revisitar a página sem precisar de um novo e-mail.

E-mail de cobrança por loja

Dentro do portal, o cliente pode definir um e-mail próprio para receber cobranças daquela loja específica. Útil quando o cliente prefere que cobranças cheguem em cobrancas@empresa.com.br em vez do e-mail pessoal — e a configuração é fixa: mesmo que o cliente troque o e-mail principal em uma cobrança futura, o desta loja não muda. Para voltar ao padrão, basta clicar em Voltar ao padrão.

API

Três endpoints públicos novos sob /api/public/minha-area/*:

  • POST /request — envia o link mágico. Sempre responde 200 com a dica do e-mail mascarado (ou null se o CPF não for encontrado — sem enumeração).
  • GET /charges — lista cobranças do cliente em todos os vendedores (autenticado pelo link mágico).
  • PATCH /profile — define ou limpa o e-mail de cobrança específico de um vendedor.

Throttle de 3 pedidos por hora por IP no /request para conter abuso.

Segurança

  • O link mágico é um JWT com TTL de 24h, assinado com um segredo dedicado (MAGIC_LINK_SECRET) — separado do segredo do dashboard.
  • A resposta do /request mascara o e-mail (u***@gmail.com) e o tempo de resposta é constante, com ou sem cliente correspondente — sem enumeração de CPFs.
  • Ao editar o e-mail de cobrança, o cliente só consegue alterar para vendedores com os quais já tem um relacionamento. 403 em qualquer outro caso.

Próximos passos

  • Visibilidade do histórico de pagamentos do cliente no portal.
  • Cancelamento de cobrança pelo próprio cliente, sob aprovação do vendedor.
  • Cobranças recorrentes — em desenvolvimento.