Fluxos de Autenticação

Para consumir as APIs do BTG Pactual Empresas é necessário que o cliente utilize um dos fluxos disponíveis no OAuth 2.0 para conseguir um token de acesso. O BTG Id suporta os seguintes fluxos de autorização:

Authorization Code

Aplicações web, com uma camada de server side aonde é possivel manter as credenciais do app forma segura podem utilizar esse fluxo. No fluxo authorization code o client troca um authorization code recebido após o login e consentimento do usuário, juntamente com as credenciais do app(client_id e secret) por um token de acesso no authorization server.

Authorization Code with Proof Key for Code Exchange(PKCE)

O fluxo Authorization Code w/ PKCE é utilizado em cenários aonde a aplicação cliente é executada em um ambiente não seguro, o browser ou um aplicativo mobile nativo por exemplo. Como esse tipo de aplicação, não é capaz de manter o client secret armazenado de forma segura, o OAuth 2.0 definiu uma versão do fluxo authorization code que faz o uso de um "Proof Key for Code Exchange" em alternativa ao client secret.

Refresh Token

O fluxo de Refresh Token é utilizado para renovar Access Tokens sem necessidade de Login e Consentimento do usuario novamente. Consiste na "troca" de um Refresh Token recebido por um novo Acess Token válido.

Client Credentials

O fluxo Client Credentials corresponde ao fluxo de autenticação de aplicação para aplicação, aonde o recurso consumido não pertence a um usuário. Neste fluxo um Access Token é gerado sem a necessidade de interação do usuário.


Did this page help you?