Fluxos de Autenticação

Para consumir as APIs do BTG Pactual Empresas, o cliente deverá conseguir um token de acesso usando um dos fluxos de autenticação do OAuth2.0. O BTG Id suporta os seguintes fluxos de autorização:

APIs de banking

Por padrão, você só conseguirá ter acesso aos dados de uma conta PJ para realização de transferências, emissão de boletos, pix e demais movimentações financeiras que ofertamos na API Reference utilizando o fluxo do AUTHORIZATION CODE sendo ele, portanto, um fluxo OBRIGATÓRIO para cenário como os descritos acima.

Refresh token

O refresh token é um fluxo pensado para quando o Access Token do fluxo principal expira e você não deseja pedir as permissões novamente ao cliente.

Abaixo você encontra um breve overview sobre os fluxos, mas não deixe de ver as páginas dedicadas!

Authorization Code

Aqui, o client troca um authorization code por um token de acesso no authorization server. Este authorization code é recebido após o login e consentimento do usuário junto com o cliente_id e secret.

Poderá ser usado em aplicações web que permitam manter o client_id e o secret seguros.

• Entenda o fluxo Authorization Code;
• Link da RFC 6749.

Authorization Code with Proof Key for Code Exchange(PKCE)

Este fluxo não mantém o client_secret armazenado com segurança. Ele usa uma chave PKCE, ou "Proof Key for Code Exchange" ao invés do client_secret.

Poderá ser usado em aplicações em ambientes não seguros, como browser ou app mobile nativo.

• Entenda o fluxo Authorization Code com PKCE;
• Link da RFC 7636.

Refresh Token

Renova Access Tokens sem que o usuário precise logar e consentir repetidamente ao trocar um Refresh Token por um novo Access Token válido.

• Entenda o fluxo Refresh Token;
• Link da RFC 6749.

Client Credentials

Fluxo de autenticação de aplicação para aplicação, onde o recurso consumido não pertence a um usuário. O Access Token é gerado sem interação de um usuário.

• Entenda o fluxo Client Credentials;
• Link da RC 6749.