Fluxos de Autenticação
Para consumir as APIs do BTG Pactual Empresas, o cliente deverá conseguir um token de acesso usando um dos fluxos de autenticação do OAuth2.0. O BTG Id suporta os seguintes fluxos de autorização:
"No final das contas, qual fluxo devo utilizar?" Authorization Code é o seu melhor amigo!
Por padrão, você só conseguirá ter acesso aos dados do cliente para realização de transferências, emissão de boletos, pix e demais movimentações financeiras que ofertamos na API Reference utilizando o fluxo do AUTHORIZATION CODE sendo ele, portanto, um fluxo OBRIGATÓRIO.
"Mas e o refresh token?"
O refresh token é um fluxo pensado para quando o Access Token do fluxo principal expira e você não deseja pedir as permissões novamente ao cliente. Lembre-se de não realizar o fluxo do refresh token toda requisição pois ele tem uma cota por hora!
Abaixo você encontra um breve overview sobre os fluxos, mas não deixe de ver as páginas dedicadas!
Authorization Code
Aqui, o client troca um authorization code por um token de acesso no authorization server. Este authorization code é recebido após o login e consentimento do usuário junto com o cliente_id e secret.
Poderá ser usado em aplicações web que permitam manter o client_id e o secret seguros.
- Entenda o fluxo Authorization Code
- Confira a receita para o fluxo Authorization Code
- Link da RFC 6749
Authorization Code with Proof Key for Code Exchange(PKCE)
Este fluxo não mantém o client_secret armazenado com segurança. Ele usa uma chave PKCE, ou "Proof Key for Code Exchange" ao invés do client_secret.
Poderá ser usado em aplicações em ambientes não seguros, como browser ou app mobile nativo.
Refresh Token
Renova Access Tokens sem que o usuário precise logar e consentir repetidamente ao trocar um Refresh Token por um novo Access Token válido.
Client Credentials
Fluxo de autenticação de aplicação para aplicação, onde o recurso consumido não pertence a um usuário. O Access Token é gerado sem interação de um usuário.
Updated 11 months ago