Skip to main content
POST
/
api
/
public
/
minha-area
/
request
Solicitar Link Mágico
curl --request POST \
  --url https://garu.com.br/api/public/minha-area/request \
  --header 'Authorization: Bearer <token>' \
  --header 'Content-Type: application/json' \
  --data '
{
  "document": "<string>"
}
'

Visão Geral

Endpoint público (sem autenticação por API key). Sempre responde 200, com maskedEmail = null quando o CPF/CNPJ não corresponde a nenhum cliente — é assim por design, para evitar enumeração de CPFs cadastrados. Quando há cliente correspondente, a Garu envia um e-mail com um link da forma https://garu.com.br/minha-area/<jwt>. O JWT tem TTL de 24h e é reutilizável dentro desse período.

Throttle

3 requisições por hora por IP. Excedente retorna 429 Too Many Requests.

Exemplo de Requisição

curl -X POST https://garu.com.br/api/public/minha-area/request \
  -H "Content-Type: application/json" \
  -d '{ "document": "12345678901" }'

Parâmetros

document
string
required
CPF (11 dígitos) ou CNPJ (14 dígitos). Pontuação é removida no servidor.

Resposta

200 OK sempre, mesmo sem cliente correspondente: 
{ "maskedEmail": "m***@gmail.com" }
ou 
{ "maskedEmail": null }
Não tente inferir a existência do CPF pela resposta — o tempo de resposta é constante e o maskedEmail = null cobre tanto “CPF inválido” quanto “CPF não cadastrado”.

Erros

  • 400 Bad Request — corpo inválido (ex: document ausente).
  • 429 Too Many Requests — throttle de 3/hora/IP excedido.