Docs

Guia do Usuário

OAuth 2.0

Autorização

...

Nesta página

Guia de usuário

Fazendo uma chamada a um app

Para explicar melhor este fluxo, vamos utilizar um exemplo, a aplicação chamada “Pagamentos Online”, um aplicativo de integração, que precisa realizar cobranças de Pix em nome de seus clientes, mas não quer que os usuários finais se autentiquem e não implementa estas ações, irá consumi-las de um outro app, a aplicação “Pix”. Assim, o app de integração “Pagamentos Online” se autenticará diretamente usando o fluxo de Credenciais do Cliente junto à aplicação responsável por emitir as cobranças, a aplicação “Pix”, sempre que necessário.

Passo a Passo

  1. Acessar o console iugu e criar um app de integração na área de trabalho.

  2. Informar em “consumed actions”, as ações que este app vai poder realizar. Em nosso exemplo as ações que ele vai realizar serão consumidas de outro app, portanto em “ações consumidas”, deverá constar o nome do app e a ação, que, em nosso exemplo vamos utilizar “pix:create”.

  3. Instalar o app de integração “Pagamentos Online” na área de trabalho.

  4. Instalar na mesma área de trabalho o app a ser chamado, no caso a aplicação “Pix”.

  5. Ao instalar a aplicação Pix, consultar o client_id da mesma no GIA Saiba mais sobre Gestão de Identidade e Acesso - GIA.

  6. Criar um token JWT, via client credentials, passando em audience, o client_id do app a ser acessado, no caso, o client_id do app Pix obtido no passo anterior.

  7. Após obtenção do otken, chamar a rota de api da aplicaçãp “Pix”, para criar um pix, enviando os parâmetros necessários e no header o token de autorização obtido.

Fluxo

  1. O desenvolvedor da aplicação “Pagamentos Online” registra o aplicativo no servidor de autorização (Console iugu). Isso envolve a criação de um cliente no servidor de autorização e a obtenção de credenciais, como um ID de cliente e uma chave secreta, que o “Pagamentos Online” usará para se autenticar, além de apontar as ações consumidas da aplicação Pix por este aplicativo.

  2. O desenvolvedor instala ambas aplicações na área de trabalho que deseja manipular, concedendo permissões para aplicação Pix e Pagamentos Online.

  3. Quando a aplicação “Pagamentos Online” precisar processar um pagamento, ele envia uma solicitação de token de acesso via client_credentials para o servidor de autorização. Essa solicitação inclui o ID de cliente e a chave secreta, juntamente o audience, informando sobre o acesso desejado, por exemplo, permissão acessar a aplicação Pix e utilizar seus recursos.

  4. O servidor de autorização verifica as credenciais do cliente e, se estiverem corretas, emite um token de acesso para a aplicação “Pagamentos Online”.

  5. A aplicação “Pagamentos Online” usa o token de acesso recebido para fazer solicitações à API de processamento de pagamentos da aplicação Pix.

  6. A aplicação Pix recebe uma chamada autenticada com o token em sua rota de criação de cobranças Pix. Com o sucesso da autenticação, agora a aplicação Pix precisa verificar a autorização para realizar a ação de criação de cobrança Pix, realizando a verificação da autorização.

  7. Se tudo ocorrer bem, a aplicação Pix realiza a criação de uma cobrança Pix com os parâmetros recebidos, a partir da chamada da aplicação Pagamentos Online.

É importante observar que a segurança desse fluxo depende da proteção das credenciais do cliente (ID de cliente e chave secreta) e da garantia de que apenas aplicativos confiáveis e autorizados tenham acesso a essas credenciais.

Próximos passos Implementar Client Credentials