Autenticação e Ambientes
Obtenha suas credenciais, configure os ambientes e gere seu primeiro access_token.
Para garantir a segurança, nossa API usa o padrão OAuth 2.0 (Client Credentials Grant). O fluxo para se autenticar é simples:
- Você recebe um
Consumer KeyeConsumer Secretpara cada ambiente. - Você usa essas credenciais para solicitar um
access_tokentemporário ao nosso endpoint de autenticação. - Você usa esse token no header
Authorizationde todas as suas chamadas de API.
1. Ambientes: Staging e Produção
Nós fornecemos dois ambientes. Você deve iniciar seu desenvolvimento e validação usando o ambiente de Staging.
| Ambiente | URL Base da API | Finalidade |
|---|---|---|
| Staging | https://auth-staging.creditas.com.br/api/affiliate_clients/tokens | Seu ambiente de desenvolvimento e testes. Use para construir e validar sua integração. |
| Produção | https://auth.creditas.com.br/api/affiliate_clients/tokens | Ambiente real para tráfego de clientes. |
IMPORTANTE: Liberação de Credenciais
O acesso aos ambientes é liberado em fases:
- Credenciais de Staging: São liberadas antes do início do desenvolvimento para que você possa construir sua aplicação.
- Credenciais de Produção: São liberadas somente após a conclusão e validação da integração em Staging pelo time Creditas.
2. Obtendo suas Credenciais
O processo de liberação das suas credenciais (Consumer Key e Consumer Secret) é feito mediante solicitação e dividido em duas fases: a fase de Desenvolvimento (Staging) e a fase de Go-Live (Produção).
Para garantir a segurança e o controle, as credenciais para ambos os ambientes são liberadas manualmente pelo nosso time técnico. O único canal para solicitações é o e-mail: [email protected].
2.1 Credenciais para Staging (desenvolvimento)
Você deve usar o ambiente de Staging para construir, testar e validar toda a sua integração antes de solicitar o acesso à Produção.
- Como solicitar: Envie um e-mail para [email protected] usando o template abaixo. Preencher o template corretamente garante que nosso time tenha toda a informação necessária para gerar suas chaves rapidamente.
Modelo email de solicitaçao de credencias de staging
Para: [email protected]
Assunto: Solicitação de Credenciais Staging - [Nome da Sua Empresa]
Corpo:
Olá, time de Suporte B2B,
Gostaríamos de iniciar o desenvolvimento da integração com a API.
Por favor, gerem as credenciais de Staging para nossa empresa.
-
Empresa (Parceiro): [Nome da Sua Empresa]
-
CNPJ: [Informar o CNPJ]
-
Produto: [Informar se Auto Equity ou Home Equity)
-
Contato Técnico (Nome): [Nome do desenvolvedor ou responsável]
-
Contato Técnico (E-mail): [E-mail para onde as credenciais devem ser enviadas]
Obrigado(a).
2.2 Credenciais para Produção (go-live)
A liberação das credenciais de Produção é o passo final e acontece somente após a validação bem-sucedida da sua integração no ambiente de Staging.
- Como solicitar: Para comprovar que sua aplicação está pronta, você deve nos enviar evidências de uma chamada de sucesso em Staging. A seguir listamos quais são as evidências técnicas que precisamos.
Endpoint | Status da requisição | Objeto do retorno | Data da chamada |
|---|---|---|---|
/eligibility | 200 | "product": "AUTO_REFINANCING", "eligible": true | 17/11/2025 |
/offers | 201 | "id": "OFR-DBC79D7F-E5D7-45B9-B9DD-A60C2561EA06" | 17/11/2025 |
/proposals | 201 | "id": "B2B-DBC79D7F-E5D7-45B9-B9DD-A60C2561EA06", "legacyId": "68e7e502-2e71-4c4c-a868-9c8c438fe19d", "productType": "AUTO_REFI" | 17/11/2025 |
Requisito de Compliance: Evidência de Opt-inAlém das evidências técnicas descritas acima, há um requisito final de conformidade para a liberação de suas chaves de Produção.
É imprescindível que o e-mail de requisição inclua a comprovação visual (screenshot ou link) de que o mecanismo de opt-in de comunicações está aplicado na interface do seu usuário.
- Você deve demonstrar que o cliente concorda explicitamente em receber comunicações transacionais para que possamos engajá-lo com atualizações sobre sua proposta (via e-mail, SMS ou outras plataformas).
Esta exigência é obrigatória para proteger a integridade do canal de comunicação e garantir a conformidade com regulamentações de combate a spam.
Atenção: Sem o comprovativo visual do opt-in do usuário, as comunicações transacionais críticas (necessárias para o seguimento do processo) não serão habilitadas.
Modelo email de solicitaçao de credencias de produçao
Para: [email protected]
Assunto: Solicitação de Credenciais Staging - [Nome da Sua Empresa]
Corpo:
Olá, time de Suporte B2B,
Concluímos com sucesso a integração e os testes no ambiente de Staging. Gostaríamos de solicitar nossas credenciais de Produção.
Seguem as evidências obrigatórias da chamada de validação em Staging:
-
Empresa (Parceiro): [Nome da Sua Empresa]
-
CNPJ: [Informar o CNPJ]
-
Produto que sera integrado: [informar se auto ou home equity]
Evidências da Chamada em Staging:
-
Endpoint Consultado: [Ex: /proposals]
-
Status da Consulta: [Ex: 200 OK]
-
Objeto de Retorno (ID): [Cole o ID de retorno, ex: "proposal_id": "abc-123-def-456"]
-
Data da Chamada: [Ex: 17/11/2025]
Aguardamos a liberação para o Go-Live.
Obrigado(a).
Importante: Nosso time técnico analisará as evidências fornecidas. Se tudo estiver correto, suas credenciais de Produção serão geradas e compartilhadas. Caso contrário, entraremos em contato para solicitar ajustes.
3. Gerando um Access Token
Agora que você tem seu Consumer Key e Consumer Secret, o próximo passo é trocá-los por um access_token temporário.
Usamos o fluxo OAuth 2.0 (Client Credentials Grant), que é o padrão de mercado para comunicação segura de servidor-para-servidor (B2B). O token é a "chave" temporária que você usará para provar sua identidade em todas as chamadas futuras.
Este token expira em 2 hora (7200 segundos). Você deve gerar um novo token sempre que o anterior expirar ou para cada nova sessão da sua aplicação.
- Após a expiração do token, todas as requisições passarão a retornar
status_code401 (Unauthorized), até que um novo token seja gerado.
O access_token será necessário para o cabeçalho de autenticação de toda requisição que for realizar.
3.1. Endpoint de autenticação
Para obter o token, você fará uma chamada POST para o nosso endpoint de autenticação, enviando suas credenciais no corpo (body) da requisição.
Importante: As credenciais são específicas para cada ambiente e não podem ser misturadas. Você deve usar o par de chaves (
consumer_keyeconsumer_secret) que corresponde ao endpoint que você está chamando.
Requisição HTTP POST
| Ambiente | Tipo da Requisição | URL | Credenciais Requiridas |
|---|---|---|---|
| Staging | POST | https://auth-staging.creditas.com.br/api/affiliate_clients/tokens | consumer_key e consumer_secret de Staging |
| Production | POST | https://auth.creditas.com.br/api/affiliate_clients/tokens | consumer_key e consumer_secret de Produção |
Detalhes da requisição: request headers
| Header | Valor |
|---|---|
Resquest body
| Campo | Tipo | Descrição |
|---|---|---|
consumer_key | string | Sua consumer_key |
consumer_secret | string | Seu consumer_secret |
Request Response
| Campo | Tipo | Descrição |
|---|---|---|
access_token | string | Token de acesso aos recursos |
token_type | string | Tipo do token bearer |
refresh_token | string | Token utilizado para gerar um novo token |
expires_in | number | Tempo de expiração do token |
3.2. Exemplo: solicitando seu token
curl --location --request POST 'https://auth-staging.creditas.com.br/api/affiliate_clients/tokens'
--header 'Accept-Version: v1'
--header 'Content-Type: application/json'
--data-raw '{
"consumer_key": "{{consumer_key}}",
"consumer_secret": "{{consumer_secret}}"
}'{
"access_token": "1234SFDSF42423dfvxc",
"token_type": "bearer",
"refresh_token": "refresh-token",
"expires_in": 7200
}3.3. Erros de Autenticação
| Código | Status | Descrição |
|---|---|---|
401 | Invalid Credentials | consumer_key ou consumer_secret inválido, falha de autenticação |
400 | Bad Request | Chaves consumer_key ou consumer_secret escritas de forma incorreta. |
Updated about 14 hours ago