Como gerar um token do tipo authorization code flow?

O primeiro passo para obter um token de acesso é possuir credenciais. Caso ainda tenha dúvidas de como obtê-las, você pode consultar todas as modalidades de integração disponíveis na Cora hoje.

 

O que é um token do tipo authorization code flow?

Token do tipo auhorization code é um token de acesso que pode ser obtido através do uso de um código de autorização. O código em si é obtido a partir de um login realizado em um link de permissão da Cora, onde o cliente tem a chance de ver as informações que a aplicação do Parceiro está solicitando e aprovar ou negar a solicitação.

O fluxo de código de autorização oferece algumas vantagens em relação aos outros tipos de concessão. Quando o usuário autoriza o aplicativo, ele é redirecionado de volta ao aplicativo com um código temporário e uso único (OTP) na URL. O aplicativo irá utilizar esse código para gerar o token de acesso. Quando o aplicativo faz a solicitação do token de acesso, essa solicitação pode ser autenticada com o segredo do cliente, o que reduz o risco de um atacante interceptar o código de autorização e usá-lo por si mesmo. Isso também significa que o token de acesso nunca é visível para o usuário ou para o navegador dele, tornando-o o método mais seguro para enviar o token de volta para o aplicativo e reduzindo o risco de o token vazar para outra pessoa.

 

Como obter um token do tipo authorization code flow?

De forma resumida, aqui estão os passos necessários para gerar um token do tipo authorization code flow:

O primeiro passo do fluxo é solicitar a autorização do cliente Cora. Isso é feito através de um link de solicitação de permissão, que deve ser configurado pela Empresa Parceira. A URL de solicitação de permissão está em um formato como este:

https://api.stage.cora.com.br/oauth/authorize?client_id=app-teste&response_type=code&redirect_uri=https://seulinkderedirecionamento.com.br&scopes=invoice 

Ao conceder a autorização, o cliente é redirecionado para o link informado como redirect_uri. O Parceiro precisará registrar essa URL de redirecionamento previamente e, para isso, precisará informar o domínio desejado para a Cora, uma vez que o processo de registro é realizado internamente.

Para o Parceiro: Lembrando que os links de redirecionamento são feitos logo no cadastro de interesse na parceria Cora. Caso precise registrar novos links de redirecionamento, por favor, entre contato com o suporteapi@cora.com.br.

Uma vez que a autorização é concedida, o link para o qual o cliente é direcionado é semelhante ao exemplo a seguir:

https://seulinkderedirecionamento.com.br/?session_state=5b8f5100-e15c-4215-bfed-7d980e82211b&code=7f9519fc-ef65-449f-a3a4-8001fa8ef206.5b8f5100-e15c-4215-bfed-7d980e82211b.cdee84ad-4e66-4353-abac-e8588b5082d5 

Com o código retornado, a "Empresa Parceira" pode gerar um token de acesso utilizando nossa API "Gerar token de autenticação". É importante observar que o código não é um token de acesso. A única coisa que você pode fazer com o código de autorização é fazer uma solicitação para obter um token de acesso.

Neste ponto do fluxo, a "Empresa Parceira" conseguiu todas as informações necessárias para obter o token. Na requisição à API "Gerar token de autenticação", seria necessário:

  • Codificar as credenciais (client ID e client secret) em base64;
  • Definir o 'grant_type=authorization_code';
  • Utilizar o código de autorização obtido no campo code; e
  • Definir a redirect_uri como o link para o qual o "cliente final" foi redirecionado.
Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 1

Comentários

0 comentário

Por favor, entre para comentar.