Autenticação

OAuth 2.0 — Client Credentials

Todas as rotas protegidas exigem um access token enviado no cabeçalho Authorization.

Cabeçalho de autenticação

http

Authorization: Bearer <access_token>

Obter token

POST/oauth/token

O endpoint aceita application/json e devolve um JWT válido por 3600 segundos.

Body

grant_typestringrequired

Sempre client_credentials.

client_idstringrequired

Identificador do cliente OAuth.

client_secretstringrequired

Segredo do cliente OAuth.

scopestringoptional

Lista separada por espaço. Se omitido, recebe todos os escopos do cliente.

Interseção de escopos

O token só inclui escopos que o cliente possui no banco. Se você pedir pix:in mas o cliente não tiver, ele será silenciosamente removido da resposta.

Erros comuns

HTTP	error	Significado
400	invalid_request	JSON inválido.
400	invalid_scope	Nenhum escopo pedido é válido.
401	invalid_client	Cliente inexistente, revogado ou secret incorreto.

Cliente OAuth restrito

Alguns clientes são criados ligados a uma única conta (restricted_account_id). Restrições aplicáveis:

Operações limitadas àquela conta (PIX, saldo, extrato).
Não é permitido listar todas as contas nem criar subcontas.
Webhooks só podem ser criados para a conta restrita.

403 forbidden

Tentar operar fora da conta restrita retorna 403.

bash

curl -X POST https://stater.stric.io/oauth/token \
  -H "Content-Type: application/json" \
  -d '{
    "grant_type": "client_credentials",
    "client_id": "<seu_client_id>",
    "client_secret": "<seu_client_secret>",
    "scope": "accounts:read pix:out"
  }'

json· 200 OK

{
  "access_token": "<jwt>",
  "token_type": "Bearer",
  "expires_in": 3600,
  "scope": "accounts:read pix:out"
}