Token de acesso

Essa página apresenta os passos de como gerar o mobile token e quais as maneiras recomendadas para fazer isso:

Obtendo seu ID e secret

  1. Acesse app.combateafraude.com e efetue o login;
  2. Quando estiver em sua conta, clique em seu email na parte superior direita da página e clique em Produtos;
  3. Na página dos produtos, vá para a aba Mobile;
  4. Nessa página você pode ver os seus mobile tokens e os produtos vinculados a cada um. Para criar um novo, clique em "Criar chave de acesso" na direita da página;
  5. Selecione quais funções e/ou SDKs que o token terá permissão de executar e clique em "Próximo";
  6. A página irá lhe mostrar um clientId e um clientSecret. Armazene-as com segurança.
    • Não armazene estes campos diretamente na sua aplicação mobile. Fazer isso tornaria trivial para um atacante realizar engenharia reversa do seu aplicativo e obter essas informações. Nesse caso, o atacante pode realizar requisições fraudulentas em seu nome, comprometendo a segurança do seu aplicativo e causando cobranças indevidas.

P.S.: Você pode repetir esse procedimento para gerar acessos combinando diferentes funções e SDKs.

Obs: Caso o ambiente utilizado seja o ambiente de homologação as chaves de acessos devem ser geradas no ambiente de homologação da caf: Painel CAF ou Trust

Gerando seu token

Maneira recomendada

Os passos a seguir descrevem como você pode gerar um token que é válido somente para uma pessoa específica. Essa é a maneira recomendada de gerar e distribuir os tokens pois limita um possível ataque a uma única conta de um usuário.

  1. Em algum ponto do seu fluxo, crie um JWT com a seguinte estrutura:
    • Lembre de trocar os campos {clientId}, {peopleId} e {expiresAt}
    • Todos esses campos são fortemente recomendados, mas você pode ver quais são obrigatórios no final dessa página

Header:

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:

{
  "iss": "{clientId}",
  "exp": {expiresAt},
  "peopleId": "{peopleId}"
}
  1. Assine o token usando seu clientSecret;
  2. Envie este token para sua aplicação.

Maneira não segura, recomendada somente para testes

  1. Acesse o site jwt.io;
  2. Mantenha o campo Header como está;
  3. Troque o payload para o seguinte, substituindo {clientId} pelo seu clientId:
{
  "iss": "{clientId}"
}
  1. Troque your-256-bit-secret pelo seu clientSecret;
  2. Clique em Share JWT para copiar o token gerado para a área de transferência;
  3. Use esse token em sua aplicação mobile.

Parâmetros do Payload JWT

ParâmetroObrigatório?Descrição
issSimSeu clientId
expNãoTempo de expiração (segundos desde a Era Unix)
peopleIdNãoO CPF cujo token será válido
InícioChecando as respostas assinadas