Token de acesso
Essa página apresenta os passos de como gerar o token do Identity e quais as maneiras recomendadas para fazer isso:
Obtendo seu ID e secret
- Acesse a página de tokens do Identity;
- Caso você não possua nenhum token, gere um.
- Recupere o
clientIde oclientSecretde um dos tokens gerados.- Não armazene estes campos diretamente na sua aplicação mobile/web. Esses valores não devem sair de seu backend.
P.S.: Você pode repetir esse procedimento para gerar acessos combinando diferentes funções e SDKs.
Gerando seu token
Maneira recomendada
Os passos a seguir descrevem como você pode gerar um token que é válido somente para uma pessoa específica. Essa é a maneira recomendada de gerar e distribuir os tokens pois limita um possível ataque a uma única conta de um usuário.
- Em algum ponto do seu fluxo, crie um JWT com a seguinte estrutura:
- Lembre de trocar os campos
{clientId},{personId}e{expiresAt} - Todos esses campos são fortemente recomendados, mas você pode ver quais são obrigatórios no final dessa página
- Lembre de trocar os campos
Header:
{
"alg": "HS256",
"typ": "JWT"
}
Payload:
{
"iss": "{clientId}",
"exp": {expiresAt},
"personId": "{personId}"
}
- Assine o token usando seu
clientSecret; - Envie este token para sua aplicação.
Maneira não segura, recomendada somente para homologação
- Acesse o site jwt.io;
- Mantenha o campo
Headercomo está; - Troque o payload para o seguinte, substituindo
{clientId}pelo seuclientId:
{
"iss": "{clientId}"
}
- Troque
your-256-bit-secretpelo seuclientSecret; - Clique em
Share JWTpara copiar o token gerado para a área de transferência; - Use esse token em sua aplicação mobile.
Parâmetros do Payload JWT
| Parâmetro | Obrigatório? | Descrição |
|---|---|---|
| iss | Sim | Seu clientId |
| exp | Não | Tempo de expiração (segundos desde a Era Unix) |
| personId | Não | O CPF para o qual o token será válido |