Autenticação
A plataforma usa autenticação JWT (JSON Web Token). Você se autentica com suas credenciais e recebe um token que deve ser incluído em todas as requisições subsequentes.
Suas credenciais (usuário e senha) são fornecidas pelo time da plataforma durante o onboarding. Entre em contato com seu gerente de conta se ainda não as recebeu.
Obtendo um Token
POST
/v1/authParâmetros do Corpo
| Campo | Tipo | Obrigatório | Descrição |
|---|---|---|---|
username | string | ✓ | Usuário fornecido pelo time |
password | string | ✓ | Senha fornecida pelo time |
Expiração do Token
| Token | Expiração | Uso |
|---|---|---|
access_token | 5 min (300s) | Enviado no header Authorization em cada chamada |
refresh_token | 30 min (1800s) | Obtém um novo access_token sem reautenticar |
Request
curl -X POST https://yby-dev.positivolabs.com.br/v1/auth \
-H "Content-Type: application/json" \
-d '{
"username": "your-user@yby-dev.positivolabs.com.br",
"password": "your-password"
}'
Resposta
{
"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...",
"expires_in": 300,
"refresh_expires_in": 1800,
"refresh_token": "eyJhbGciOiJIUzI1NiIs...",
"token_type": "Bearer"
}
Fazendo Requisições Autenticadas
Inclua o access_token no header Authorization de cada requisição:
Authorization: Bearer <access_token>
Request
curl https://yby-dev.positivolabs.com.br/v1/merchants \
-H "Authorization: Bearer <access_token>"
Melhores Práticas
- Nunca compartilhe suas credenciais ou tokens publicamente
- Armazene credenciais de forma segura usando variáveis de ambiente
- Implemente renovação automática de token antes da expiração
- Não codifique tokens diretamente no código — eles expiram e são rotacionados