Como obter os Tokens?
Para obter os tokens de acesso de um usuário, você precisa antes de tudo do prévio consentimento dele, ou seja, você precisará do código de autorização proveniente do aceite do usuário nas telas do Connect. Lembre-se de que explicamos isso no passo a passo de número 2: "Popup vs. iFrame", enviamos esse código de autorização ou pela URL de callback ou pelo evento chamado "message" para você cliente.
O código de autorização é válido apenas por 60 minutos.Para obter os tokens de acesso do usuário, envie a seguinte chamada para nossa API passando o código de autorização. Lembre-se de que você tem apenas 60 minutos para fazer essa troca assim que recebe o código de autorização.
POST https://kasbah.guiabolso.com.br/partner/events/
{ "name": "oauth:tokens:exchange", "version": 1, "id": UUID, "flowId": UUID, "payload": { "code": AUTH_CODE }, "identity": { "clientId": CLIENT_ID }, "auth": { "clientSecret": CLIENT_SECRET }, "metadata": {}}| Campo | Descrição |
|---|---|
id | É um identificador único, pode ser um UUID gerado de forma aleatória, que identifica esse evento específico. Ele é usado apenas internamente no Guiabolso, então você não precisa se preocupar em armazenar este valor. Você pode passar qualquer identificador aqui contanto que ele seja único e não seja sensível. |
flowId | É um identificador único, pode ser um UUID gerado de forma aleatória também. Diz respeito a como o Guiabolso rastreia as requisições dentro da sua plataforma, você pode passar qualquer identificador aqui contanto que ele seja único e não seja sensível. |
code | Código de autorização do usuário recebido via callback_url ou pelo event listener e passado aqui em formato string |
clientId | ID da sua credencial de acesso |
clientSecret | Senha da sua credencial de acesso |
Exemplo de uma resposta bem sucedida, note os dois tokens retornados dentro de payload. O token de acesso é o token que deve ser passado para as nossas APIs de recursos enquanto que o token de atualização é usado para renovar o token de acesso sempre que necessário.
O token de acesso é válido apenas por 30 minutos, já o de atualização por 12 meses. { "name": "oauth:tokens:exchange:response", "version": 1, "id": UUID, "flowId": UUID, "auth": {}, "identity": {}, "payload": { "accessToken": ACCESS_TOKEN, "refreshToken": REFRESH_TOKEN }, "metadata": {}}Como renovar um Token expirado?
O token de acesso expira rapidamente, mas é por este motivo que existe o token de atualização com duração de 12 meses. Para realizar a renovação de um token de acesso, envie uma chamada para a nossa API da seguinte forma passando o token de atualização dentro do payload.
POST https://kasbah.guiabolso.com.br/partner/events/
{ "name": "oauth:refresh:token:exchange", "version": 1, "id": UUID, "flowId": UUID, "payload": { "refreshToken": REFRESH_TOKEN }, "identity": { "clientId": CLIENT_ID }, "auth": { "clientSecret": CLIENT_SECRET }, "metadata": {}}Exemplo de uma resposta bem sucedida, note que o novo token de acesso é retornado dentro de "payload".
{ "name": "oauth:refresh:token:exchange:response", "version": 1, "id": UUID, "flowId": UUID, "payload": { "accessToken": ACCESS_TOKEN }, "identity": {}, "auth": {}, "metadata": {}}Como revogar o acesso de um Token?
Para invalidar um token de acesso basta enviar uma chamada para nossa API passando o token de acesso que deseja revogar e os dados deste usuário não poderão mais ser buscados na nossa API.
POST https://kasbah.guiabolso.com.br/gbConnect/events/
{ "name": "gbconnect:access:revoke", "version": 1, "id": UUID, "flowId": UUID, "identity": { "clientId": CLIENT_ID }, "auth": { "clientSecret": CLIENT_SECRET }, "metadata": {}, "payload": { "token": ACCESS_TOKEN }}