Autenticação na API Fundamentalista:

API Fundamentalista implementa um sistema de autenticação robusto baseado no fluxo de concessão Client Credentials do OAuth 2.0. Este fluxo permite que aplicativos se autentiquem diretamente com o provedor de identidade, obtendo um token de acesso. Abaixo, detalhamos o processo, incluindo considerações sobre o refresh token:

Autenticação via API Gateway:

Todas as requisições à API Fundamentalista passam por um API Gateway, funcionando como uma camada de segurança que filtra solicitações não autenticadas e não autorizadas.

Provedor de Identidade (Issuer):

A autenticação é gerenciada por um provedor de identidade configurado de acordo com os padrões OAuth 2.0 e OpenID Connect (OIDC). Este provedor controla o fluxo de autenticação, emitindo tokens de acesso de maneira segura.

Credenciais de Cliente (Client Credentials):

O acesso a API Fundamentalista requer um par de credenciais de cliente:

client_id: Identificador exclusivo da aplicação.
client_secret: Chave secreta associada à aplicação.

Essas credenciais são geradas durante o registro da aplicação no provedor de identidade e são essenciais para a autenticação.

Fluxo de Autenticação (Client Credentials Grant Flow):

Registro da Aplicação:
- Um desenvolvedor registra sua aplicação no provedor de identidade.
- A aplicação recebe um par de client_id e client_secret.
Requisição de Token:
- A aplicação autentica-se enviando as credenciais de cliente (client_id e client_secret) para o provedor de identidade.
- O provedor de identidade emite um token de acesso válido.
Utilização do Token de Acesso:
- A aplicação inclui o token de acesso nas solicitações à API no cabeçalho de autorização.
- O API Gateway verifica a validade do token antes de permitir o acesso aos recursos.

Refresh Token:

Após a expiração do token de acesso, a aplicação pode utilizar um refresh token para obter um novo token de acesso sem a necessidade de reautenticação. O processo envolve a solicitação de um novo token ao provedor de identidade usando o refresh token previamente obtido.

Exemplo de Requisição de Tokens:

Para obter um token de acesso:

POST /token
Host: https://sso.plataformafasttrade.com.br/connect
Content-Type: application/x-www-form-urlencoded
 
grant_type=client_credentials
&client_id=seu_client_id
&client_secret=sua_client_secret

Para obter um novo token de acesso usando refresh token:

POST /token
Host: https://sso.plataformafasttrade.com.br/connect
Content-Type: application/x-www-form-urlencoded
 
grant_type=refresh_token
&refresh_token=seu_refresh_token
&client_id=seu_client_id
&client_secret=sua_client_secret

Considerações Importantes:

Mantenha as credenciais de cliente seguras.
Armazene e transmita os tokens de acesso e refresh de maneira segura.
Renove periodicamente suas credenciais de cliente e tokens para reforçar a segurança.

Ao seguir este fluxo de autenticação, você garante uma integração segura com a API Fundamentalista, incluindo a capacidade de obter novos tokens de acesso de forma eficiente utilizando o processo de refresh token quando necessário.