Guides

Credenciais de acesso

Suggest Edits

Para garantir a máxima segurança, todos os nossos endpoints são protegidos. É essencial autenticar-se para acessá-los. Esta medida assegura a integridade e a confidencialidade dos dados.

Para autenticar-se em nossas API's, em primeiro lugar, você precisará solicitar suas credenciais de acesso ao nosso time de parcerias enviando um email para [email protected].

Para cada ambiente (produção e sandbox), você receberá dois conjuntos de credenciais contendo username, password e secret_key.

Username e Password

O userneme e password deverão ser informados a cada requisição que você realizar em nosas API. Essas credenciais deverão ser passadas no cabeçalho Authorization seguindo o padrão HTTP Basic Authentication. Para mais detalhes de como montar o cabeçalho Authorization, confira o nosso guia de API.

Secret key

Todo retorno webhook feitos a partir das nossas aplicações, contem um cabeçalho x-hmac-signature. Como camada de segurança adicional e garantia de que a mensagem recebida em seu endpoint não sofreu nenhuma alteração durante o transporte, você poderá realizar um hash utilizando sua secret_key e o corpo da requisição do webhook recebido e comparar com o valor contido nesse cabeçalho.

Para utilização dos nossos serviços você precisará estar autenticado utilizando essas credenciais e cada requisição aos nossos endpoints deve conter o token de autenticação JWT em seu cabeçalho, da seguinte maneira:

Retorno de requisições utilizando credenciais inválidas

Uma requisição feita com um token expirado, ou inválido, retornará o HTTP Status Code 401 com a seguinte mensagem:

{
    "detail": "Credenciais inválidas"
}

Retorno de requisições onde o cabeçalho Authorization não é fornecido

Uma requisição feita sem o header Authorization retornará o HTTP Status Code 401 com a seguinte mensagem:

{
    "detail": "As credenciais de autenticação não foram fornecidas."

Recomendações de segurança

Aqui estão algumas recomendações para manter suas credenciais seguras:

  • Não deixe de forma alguma as credenciais à disposição de pessoas/sistemas que não devem ter acesso a elas.
  • Não versionar as credenciais junto com o código-fonte.
  • Em caso de comprometimento das credenciais, você deverá avisar imediatamente nossa equipe para que possamos revogá-las.

Updated 8 months ago