跳转到主要内容

Aviso Importante de Segurança

Princípio de segurança em primeiro lugar: Ao desenvolver e implantar aplicações de terceiros, a segurança é a consideração mais importante. Você deve seguir rigorosamente os princípios de segurança abaixo para garantir a segurança dos dados do usuário e do processo de autorização.
  1. Nunca exponha client_secret no código JavaScript do frontend
  2. A troca do código de autorização OAuth por token deve ser feita no lado do servidor
  3. Todo acesso a recursos protegidos do usuário deve passar pelo proxy de API do backend
  4. Toda comunicação OAuth deve ser protegida usando HTTPS
A violação de qualquer um dos princípios de segurança acima pode resultar em sérias vulnerabilidades de segurança!

📋 Sumário

  1. Visão Geral
  2. Primeiros Passos
  3. Fluxo de Autorização OAuth2
  4. Referência da API
  5. SDK e Exemplos de Código
  6. Melhores Práticas de Segurança
  7. Perguntas Frequentes
  8. Suporte Técnico

Visão Geral

Fornecemos uma API aberta baseada no padrão OAuth2, permitindo que aplicações de terceiros acessem com segurança as informações básicas dos usuários e seus saldos de conta. Através do nosso serviço OAuth2, sua aplicação pode:
  • 🚀 Login com um clique: Os usuários não precisam se registrar novamente, o login concede autorização automaticamente para uma experiência verdadeiramente sem atrito
  • 👤 Obter informações do usuário: Acesse o perfil básico dos usuários (nome de usuário, e-mail, etc.)
  • 💰 Visualizar saldo da conta: Obtenha o saldo da conta dos usuários em tempo real
  • 🔄 Redirecionamento para recarga: Direcione os usuários para nossa página de recarga
  • 🔐 Atualização automática de token: Mecanismo de refresh token integrado para renovação contínua, melhorando a experiência do usuário

Primeiros Passos

1. Registrar uma Conta de Desenvolvedor

Primeiro, você precisa registrar uma conta de desenvolvedor em nosso sistema.

2. Criar uma Aplicação OAuth

Crie sua aplicação OAuth no console do desenvolvedor:
API call example
Exemplo de resposta:
Lembrete de Segurança Importante:
  • client_id pode ser usado no frontend (informação pública)
  • client_secret só pode ser usado no servidor e nunca deve ser exposto ao navegador
  • Armazene client_secret em variáveis de ambiente; não faça hardcode em seu código

3. Configurar a URI de Redirecionamento

Certifique-se de que sua URI de redirecionamento atenda aos seguintes requisitos:
  • Usa protocolo HTTPS (para produção)
  • Aponta para um endpoint do seu servidor (não uma página de frontend)
  • O domínio está registrado e acessível
  • O caminho é específico para o endpoint da API que trata o callback

Fluxo de Autorização OAuth2

Diagrama do Fluxo Seguro

Instruções Passo a Passo

Passo 1: Direcionar o Usuário para Autorizar

Adicione um botão de login na sua página frontend. Quando clicado, redirecione para o endpoint de autorização do lado do servidor:
Frontend code - only responsible for redirecting

Passo 2: Handler de Autorização do Lado do Servidor

Implemente o handler de autorização em seu servidor:
Server-side code

Passo 3: Tratar o Callback de Autorização (Lado do Servidor)

Server-side authorization callback handler

Passo 4: Frontend Obtém as Informações do Usuário

Frontend fetches user info via API proxy
Server-side API proxy

Referência da API

1. Endpoint de Autorização

GET /api/oauth2/authorize Conduz o usuário pela autorização OAuth2. Parâmetros: Requisitos de segurança:
  • redirect_uri deve corresponder exatamente ao endereço registrado
  • state deve ser uma string aleatória gerada no servidor
  • HTTPS deve ser usado (em produção)
Explicação dos escopos:
  • profile: Acessa informações básicas do usuário (nome de usuário, e-mail)
  • balance: Acessa o saldo da conta do usuário

2. Endpoint de Token

POST /api/oauth2/token
Aviso de Segurança: Este endpoint só deve ser chamado do lado do servidor, nunca do frontend!
Usado em dois cenários:
  1. Trocar código de autorização por access token
  2. Usar refresh token para obter um novo access token
Parâmetros do grant de código de autorização: Parâmetros do grant de refresh token: Exemplo de resposta:

3. Endpoint de Informações do Usuário

GET /api/oauth2/userinfo Obtém as informações básicas do usuário e o saldo da conta. Header da requisição:
header
Exemplo de resposta:
response

SDK e Exemplos de Código

SDK JavaScript

Fornecemos um SDK JavaScript completo que você pode usar diretamente:

Página de Callback do OAuth

Crie um arquivo /oauth/callback.html:

Exemplo de Backend em Node.js

Para melhor segurança, é recomendado tratar client_secret no backend:

Melhores Práticas de Segurança

1. Proteção do Client Secret

  • ✅ Recomendado: Armazene client_secret no servidor backend
  • ❌ Evite: Expor client_secret no JavaScript do frontend

2. Validação do Parâmetro State

3. Uso de HTTPS

  • Deve usar HTTPS em produção
  • A URI de callback deve usar HTTPS
  • Todas as requisições de API usam HTTPS

4. Armazenamento Seguro do Token

5. Tratamento de Erros

Perguntas Frequentes

Q1: Como obter uma verdadeira experiência de login com um clique?

R: Basta adicionar o parâmetro auto_authorize=true à URL de autorização. Após o login do usuário, a autorização será concedida automaticamente, sem etapa adicional de confirmação:

Q2: Os tokens serão atualizados automaticamente?

R: Sim, nosso SDK possui refresh automático de token integrado:
  • Access token: válido por 2 horas, refresh automático 5 minutos antes de expirar
  • Refresh token: válido por 30 dias, usado para obter novos access tokens
  • Refresh sem atritos: Todas as chamadas de API verificarão e atualizarão tokens expirados automaticamente
  • Retry em caso de falha: Se a API retornar um erro 401, tentará automaticamente refresh do token e nova requisição
Somente se o refresh token também expirar é que o usuário precisará fazer login novamente.

Q3: Quais informações de usuário posso obter?

R: De acordo com o escopo autorizado, você pode obter:
  • Escopo profile: nome de usuário, e-mail
  • Escopo balance: informações de saldo da conta

Q4: Como testar a integração OAuth?

R:
  1. Use HTTP localhost em desenvolvimento para testes
  2. Use nossas ferramentas de teste fornecidas para verificar o fluxo de autorização
  3. Verifique as requisições de rede nas ferramentas de desenvolvedor do navegador

Q5: Quais linguagens de programação são suportadas?

R: Nossa API OAuth2 é padrão e suporta todas as principais linguagens de programação:
  • JavaScript/Node.js
  • Python
  • PHP
  • Java
  • C#/.NET
  • Go
  • Ruby

Q6: Como um usuário pode revogar a autorização?

R: Os usuários podem revogar a autorização de aplicativos de terceiros na nossa página Central do Usuário > Gerenciamento de Autorização.

Última atualização: 2026-06-01