These docs are for v1.2. Click to read the latest docs for v1.4.

O erro 403 - Forbidden é relacionado com o conteúdo do access token. Ele acontece quando o token utilizado não possui permissões compatíveis com as necessárias para utilizar o serviço desejado.

Motivos recorrentes

Ausência de escopos

Quando uma chamada chega no nosso sistema, uma das validações feitas é referente aos escopos. Caso o seu token não possua o escopo necessário para consumir o serviço, será disparado um erro 403.

Por exemplo: Gerar um token sem o escopo empresas.btgpactual.com/payments e tentar consumir um serviço de Pagamentos e Transferências irá resultar em um 403.

Usuário sem os perfis necessários

Quando um token é criado, ele fica atrelado ao usuário que realizou login durante o fluxo de authorizon code. Com isso, nós verificamos quais os perfis que o usuário possui na conta em que o consentimento foi realizado e definimos o que o usuário pode ou não consumir da conta.

Quando um token com menos permissões do que as necessárias é utilizado para consumir uma API, o resultado será um 403

Por exemplo: Um usuário apenas com o perfil de desenvolvedor gerou um token. Este token é então utilizado para consumir um produto de Pagamentos e Transferências. O resultado será 403 pois é necessário que o usuário possua o perfil de contas a pagar ou o perfil de operador.

Utilização do postman web

Quando uma requisição é disparada do postman web ela é imediatamente rejeitada e o 403 disparado. Deve ser utilizado o postman/insomnia para desktop ou então um script que dispare as requisições do seu servidor local em cenário de testes preliminares ou debug de requisições unitárias.