O que são access tokens?
Access tokens, ou tokens de acesso, são códigos de autorização utilizados para permitir acesso a recursos protegidos de uma API. Aqui na Cora, eles são representados por um JSON Web Token (JWT), uma forma compacta e segura de representar informações através de várias letras e números, como esse exemplo:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Atualmente temos dois tipos de token: o client credentials e o authorization code flow. Vamos explicar mais sobre eles a seguir:
Client Credentials
Pode até chamar de credenciais do cliente. Esse tipo de token é utilizado quando aplicações buscam um token para acessar seus próprios recursos, por isso, este é o token que indicamos para APIs como as de Webhook e Pré-Cadastro, que não trafegam dados sensíveis de nossos clientes.
Este é o token que você precisa? Então, vale conferir mais detalhes sobre como gerar o token client credentials em nossa documentação para desenvolvedores.
Authorization code flow
O token "authorization code flow" pode ser chamado de "token do cliente final", eles recebem este nome por precisarem de um "code", ou seja, um código temporário que é obtido após o cliente final conceder sua autorização e permitir acesso do aplicativo do parceiro à sua conta Cora.
Na modalidade de integração "Parceria Cora" esse token é utilizado em todas as APIs transacionais, como Geração de Boleto, Iniciação de Transferência, Iniciação de Pagamento e Visualização de Extrato.
Se você é um parceiro Cora e deseja gerar tokens para seus clientes, você pode consultar instruções sobre como gerar o token authorization code.
E como identificar a diferença entre os dois tipos de token?
Tokens são representados por JSON Web Tokens (JWT), uma sequência de caracteres codificada, dividida em três partes separadas por pontos: cabeçalho (header), payload (carga útil) e assinatura (signature). Por isso, é necessário decodificá-lo para entender melhor sobre as informações que ele contém.
Para efetuar a decodificação recomendamos que utilize o site: https://jwt.io/
Os campos no payload são a maior diferença entre os dois tokens. Enquanto as credenciais da "empresa parceira" (client credentials) não estão relacionadas a uma conta específica, mas sim a uma aplicação por completo, o token do cliente final (authorization code) tem informações de uma conta, como CNPJ, identificação do negócio (business id) e identificação pessoal (person id).
Aqui está um exemplo lado a lado para ajudar a entender melhor a diferença entre os dois:
Ainda está na dúvida de qual token está sendo utilizado por você? Sugerimos que confira os diferentes métodos para obter um token na Cora e identifique qual deles foi utilizado por você.
Comentários
0 comentário