Segurança da API

Visão Geral

A API do IntegraDoor adota mecanismos robustos de autenticação, controle de acesso e criptografia ponta a ponta, garantindo a integridade, confidencialidade e rastreabilidade de todas as transações.

Importante!

Todo o tráfego entre os sistemas integrados e a API do IntegraDoor é criptografado via HTTPS (TLS 1.2+), assegurando comunicação segura de ponta a ponta.

Métodos Disponíveis

A API IntegraDoor suporta os seguintes métodos de autenticação, todos com foco em segurança e controle de acesso:

• OAuth 2.0: Ideal para aplicações que necessitam de controle granular de escopos e tokens com expiração. Permite a emissão de tokens de acesso temporários com base em credenciais do cliente (client_credentials).
• Bearer Token: Requisições autenticadas por meio de um token JWT ou string de sessão segura incluída no cabeçalho Authorization: Bearer <token>.
• API Key: Para integrações mais simples ou leitura de dados públicos/autenticados previamente, a API pode aceitar uma chave de acesso exclusiva.

Cada método pode ser habilitado conforme o perfil de integração do parceiro. Tokens e chaves devem ser gerenciados pela console administrativa IntegraDoor.

---

API Key

A autenticação via API Key é recomendada para integrações servidor-servidor em ambientes controlados.

Características:

• Gerada na console do IntegraDoor.
• Deve ser enviada no header da requisição.
• Ideal para integrações com risco baixo de exposição pública.

Exemplo:

GET /api/v1/elegibilidade HTTP/1.1
Host: api.integradoor.com.br
x-api-key: abcd1234efgh5678ijkl9012mnop3456

---

Bearer Token

Utilizado para sessões autenticadas via usuário e senha, com geração de token temporário.

Características:

• Token com validade de 15 horas.
• Suporte a refresh-token com validade de 72 horas.
• Utiliza o header Authorization: Bearer <token>.

Exemplo de uso:

POST /api/v1/solicitacao HTTP/1.1
Host: api.integradoor.com.br
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR...
Content-Type: application/json

{
  "solicitacao": { ... }
}

Exemplo de renovação com refresh-token:

POST /api/v1/auth/refresh HTTP/1.1
Content-Type: application/json

{
  "refresh_token": "dhd8ajshdu72..."
}

---

OAuth2 (Client Credentials)

O fluxo Client Credentials do OAuth2 é indicado para integrações com escopo e permissões controladas.

Características:

• Exige client_id e client_secret.
• Retorna token temporário com escopo pré-definido.

Exemplo de requisição:

POST /oauth/token HTTP/1.1
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&
client_id=SEU_CLIENT_ID&
client_secret=SEU_CLIENT_SECRET

Resposta esperada:

{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR...",
  "token_type": "Bearer",
  "expires_in": 54000
}

---

Boas Práticas

• Nunca exponha sua API Key, client_secret ou token em código público.
• Revogue credenciais comprometidas imediatamente via console.
• Restrinja permissões com base em escopos específicos.