Authorization Code

Este é o fluxo padrão do Authorization Code necessário para a obtenção do Access Token e Refresh Token. Neste seção vamos destrinchar todo o fluxo, de forma a proporcionar para você desenvolvedor a experiencia mais tranquila possível

1. Em 1 a aplicação envia para o servidor de autenticação o Client Id e o Redirect URI cadastrado juntamente com os escopos autorizados pelo usúario final, conforme exemplo:

   HTTP

   GET /oauth2/authorize?client_id={client_id}&response_type=code&redirect_uri={redirect_uri}&scope={scope}&prompt=login HTTP/1.1
   Host: id.btgpactual.com
   

   Em resposta, caso o processo sejá autorizado, o servidor de autenticação retorna o Authorization Code conforme abaixo:

   HTTP

   HTTP/1.1 302 Found
   Location: {redirect_uri}?code={authorization_code}&iss=https%3A%2F%2Fid.btgpactual.com
   

2. Em 2 após receber o Authorization Code, deve ser feita a requisição do Access Token conforme exemplo abaixo:

   HTTP

   POST /oauth2/token HTTP/1.1
   Host: id.btgpactual.com
   Content-type: application/x-www-form-urlencoded
   Authorization: Basic <client_id:client_secret> // Base 64 encoded
   
    code={authorization_code}&redirect_uri={redirect_uri}&grant_type=authorization_code
   

Nesta parte, os servidores de autenticação e autorização do BTG Id irão verificar a validade das informaçoes enviadas e, caso não hajam erros ou codigos inválidos, o servidor devolvera o Access Token e o Refresh Token junto a outras informações pertinentes como o escopo da autorização, o id do token, o tipo do token e a duração do token:

HTTP/1.1 200 OK
Content-Type: application/json

{
 "access_token":"eyJhbGciOiJS",
 "refresh_token":"WV6G4HKBr",
 "scope":"apps email openid profile webhooks",
 "id_token":"eyJhbGciOiJIUzI1NiJ9.eyJ"
 "token_type":"Bearer",
 "expires_in":86400
}

A partir daqui, já com seu Access Token em mãos, você pode consumir a APIs conforme permitido pelo usuário final!