Menu
Documentation

JWT assinado (RS256)

Toda chamada protegida da API deve enviar um token no header Authorization: Bearer <token>.

Resumo do fluxo

  1. Carregar a chave privada.
  2. Montar o payload com as claims obrigatorias.
  3. Assinar com algoritmo RS256.
  4. Enviar o token nas requisicoes.

Exemplo oficial (baseado em auth/gerarjwt.js)

const jwt = require('jsonwebtoken')
const fs = require('fs')

const privateKey = fs.readFileSync('../certs/1.key', 'utf8')

const payload = {
  'pixland:username': '3d915663-83f3-48d0-ba9d-ac3b933fb60b',
  sub: '3d915663-83f3-48d0-ba9d-ac3b933fb60b',
  aud: 'https://auth.pixland.com.br/auth/connect',
  scope: ['pix:dict', 'pix:send'],
  iat: Math.floor(Date.now() / 1000),
  exp: Math.floor(Date.now() / 1000) + (60 * 60 * 72),
}

const token = jwt.sign(payload, privateKey, { algorithm: 'RS256' })
console.log(token)

Claims importantes

  • pixland:username: identificador da identidade de integracao.
  • sub: sujeito do token (normalmente o mesmo id).
  • aud: audiencia esperada pelo servico de autenticacao.
  • scope: permissoes concedidas para a sessao.
  • iat: momento de emissao.
  • exp: expiracao do token.

Header HTTP

Authorization: Bearer <JWT_ASSINADO_RS256>

Boas praticas

  • Nunca expor a chave privada no frontend.
  • Assinar somente em backend/ambiente seguro.
  • Usar expiracao curta em operacoes criticas.
  • Rotacionar chaves periodicamente.