Pular para o conteúdo principal

Autenticação de Fornecedores Externos

Como funciona

Sua integração recebe uma API key fixa fornecida pelo time IFW. Essa chave é usada uma única vez para emitir um par de tokens:

  • Access token (JWT, válido por ~15 min) — enviado no header Authorization: Bearer em cada chamada de negócio.
  • Refresh token (válido por 14 dias) — usado apenas para renovar o par de tokens quando o access token expirar.
API Key  ──►  POST /api/external-auth/token


             ┌──────────────────────┐
             │  access_token  (JWT) │  ──►  chamadas de negócio
             │  refresh_token       │  ──►  renovar quando expirar
             └──────────────────────┘

Garantias de segurança

  • A API key nunca precisa ser enviada nas chamadas de negócio — apenas no endpoint /token.
  • O access token tem vida curta (~15 min) para limitar o impacto de um eventual vazamento.
  • O refresh token é rotacionado a cada uso — cada /refresh invalida o token anterior e emite um novo.
  • Se um refresh token já usado for apresentado novamente, toda a sessão é encerrada imediatamente como medida de proteção contra roubo de token.
  • O endpoint /revoke sempre retorna 204, independente do token existir ou não, para não vazar informações.