Para realizar solicitações à API de conciliação, é obrigatório gerar um token de acesso que deve ser enviado no header Authorization de cada requisição.

Como obter o token de acesso

Após receber as credenciais via webhook (consentimento do lojista), siga os passos abaixo:

Decripte a senha recebida no webhook utilizando o algoritmo AES CBC PKCS7.
Realize uma requisição POST ao endpoint de autenticação, conforme exemplo:

curl --location 'https://payments.stone.com.br/auth/realms/payments/oauth/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'host: payments.stone.com.br' \
--data-urlencode 'username={given_username}' \
--data-urlencode 'password={given_password}' \
--data-urlencode 'grant_type=password' \
--data-urlencode 'client_id={given_client_id}' \
--data-urlencode 'client_secret={given_client_secret}'

username: Usuário recebido no webhook.
password: Senha decriptada do payload do webhook.
client_id e client_secret: Credenciais do parceiro (conciliadora).

Resposta

O endpoint retorna um JWT (Json Web Token) em casos de sucesso no payload de resposta seguindo contrato:

{
    "id_token": "<token>",
    "expires_in": 86400,
    "token_type": "Bearer"
}

Em casos de erro na solicitação, a resposta seguirá padrão:

{
    "message": "<message>",
    "errors": [
        {
            "field": "<username>",
            "reason": "<reason>"
        }
    ]
}

OBS: o campo errors é opcional.

O token deverá ser incluído nas próximas requisições via header conforme:

Authorization: Bearer <token>

Atenção: O token é válido por tempo limitado (24 horas). Sempre utilize um token válido para realizar as consultas na API. Recomenda-se realizar o cache baseado no tempo de expiração.