Autenticação

A API Transaction utiliza um sistema robusto de autenticação baseado em JWT (JSON Web Tokens) para garantir a segurança e isolamento das transações.

Obtendo Credenciais

Pré-requisitos

• Deve possuir uma conta cadastrada na plataforma.

Ambientes Disponíveis

Produção

https://api.unoip.com.br

Processo de Autenticação

Endpoint

• Método: GET
• Endpoint: /auth/token

Credenciais Necessárias

Credencial	Descrição	Obrigatório
client_id	Identificador único	Sim
client_secret	Chave secreta de autenticação	Sim

Para primeiro acesso obtenha as credenciais pelo app, se já possui acesso obtenha as credenciais via api

Exemplo de Requisição

cURL

curl --request POST \
--url https://api.unoip.com.br/auth/token \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=seu-client-id' \
--data-urlencode 'client_secret=seu-client-secret' \
--data-urlencode 'grant_type=client_credentials'

JavaScript

const response = await fetch('https://api.unoip.com.br/auth/token', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded',
  },
  body: new URLSearchParams({
    client_id: 'seu-client-id',
    client_secret: 'seu-client-secret',
    grant_type: 'client_credentials'
  })
});

const { access_token, expires_in } = await response.json();

Resposta de Sucesso

Campo	Tipo	Descrição
access_token	string	Token JWT para autenticação
expires_in	number	Unix timestamp de quando o token expira
refresh_expires_in	number	Tempo de expiração do refresh token
token_type	string	Tipo do token (sempre "Bearer")
not-before-policy	number	Política de não usar antes
scope	string	Escopos de acesso do token
expires_in_sec	number	Tempo de vida do token em segundos

Observação: o campo scope retorna os escopos separados por vírgula.

Exemplo de Resposta

{
  "access_token": "eyJhbGci...",
  "expires_in": 1759845450,
  "refresh_expires_in": 0,
  "token_type": "Bearer",
  "not-before-policy": 0,
  "scope": "email,profile",
  "expires_in_sec": 3600
}

Usar o Token nas Requisições

Para todas as requisições à API, inclua o token JWT no header Authorization.

cURL

curl --request POST \
--url https://api.unoip.com.br/transaction \
--header 'Authorization: Bearer seu-token-jwt' \
--header 'Content-Type: application/json' \
--data '{
  // seu payload aqui
}'

JavaScript

const response = await fetch('https://api.unoip.com.br/transaction', {
  method: 'POST',
  headers: {
    'Authorization': `Bearer ${token}`,
    'Content-Type': 'application/json'
  },
  body: JSON.stringify({
    // seu payload aqui
  })
});

Python

response = requests.post(
    "https://api.unoip.com.br/transaction",
    headers={
        'Authorization': f'Bearer {token}',
        'Content-Type': 'application/json'
    },
    json={
        # seu payload aqui
    }
)

Tratamento de Erros

Código	Descrição
401	Credenciais inválidas
400	Credenciais mal formatadas
502	Bad Gateway (erro ao contatar o provedor de autenticação)

Observação: códigos e mensagens de erro podem variar conforme a resposta do provedor de autenticação.

Boas Práticas de Segurança

1. Gerenciamento de Tokens

   • Armazene tokens de forma segura
   • Renove antes da expiração
   • Nunca exponha client_secret

2. Headers de Segurança

   • Use HTTPS em produção
   • Implemente rate limiting
   • Valide autenticação em todas as requisições

3. Monitoramento

   • Registre tentativas de acesso
   • Monitore padrões suspeitos
   • Configure alertas