Fluxos de Autenticação

Para consumir as APIs do BTG Pactual Empresas, o cliente deverá conseguir um token de acesso usando um dos fluxos de autenticação do OAuth2.0. O BTG Id suporta os seguintes fluxos de autorização:

Authorization Code

Aqui, o client troca um authorization code por um token de acesso no authorization server. Este authorization code é recebido após o login e consentimento do usuário junto com o cliente_id e secret.

Poderá ser usado em aplicações web que permitam manter o client_id e o secret seguros.

• Entenda o fluxo Authorization Code
• Link da RFC 6749

Authorization Code with Proof Key for Code Exchange(PKCE)

Este fluxo não mantém o client secret armazenado com segurança. Ele usa um "Proof Key for Code Exchange" ao invés do cliente secret.

Poderá ser usado em aplicações em ambientes não seguros, como browser ou app mobile nativo.

• Entenda o fluxo Authorization Code com PKCE
• Link da RFC 7636

Refresh Token

Renova Access Tokens sem que o usuário precise logar e consentir repetidamente ao trocar um Refresh Token por um novo Access Token válido.

• Entenda o fluxo Refresh Token
• Link da RFC 6749

Client Credentials

Fluxo de autenticação de aplicação para aplicação, onde o recurso consumido não pertence a um usuário. O Access Token é gerado sem interação de um usuário.

• Entenda o fluxo Client Credentials
• Link da RC 6749