Exibir origem

Os dois tipos de autenticação implementados nas Api's são:

Autenticação Bearer (Via Host)

Por padrão, o RM certifica e valida um token padrão do sistema porém, para um nível maior de segurança, é recomendada a implementação de um certificado confiável próprio para validação. Abaixo as instruções para essa implementação.

CONFIGURAÇÃO

Para gerar um token assinado por um certificado do cliente, é necessário:

• Um certificado válido.

• Acrescentar no arquivo de configuração do Host (RM.Host.exe.config | RM.Host.Service.exe.config) as seguintes tags:

• JWTCERTIFICATETHUMBPRINT (Obrigatório)

• JWTISSUERNAME (Opcional)

• JWTAUDIENCE (Opcional)

Tag JWTCERTIFICATETHUMBPRINT => Thumbprint do certificado.

Tag JWTISSUERNAME => O nome da API que gerou o Token (Caso não seja fornecido, a assinatura será feita como "totvs-rm-host").

Tag JWTAUDIENCE => Destinatário do token, representa a aplicação que irá usá-lo

COMO UTILIZAR

Exemplo de utilização - Sucesso:

Realize uma requisição POST ao endpoint http(s)://{dominio}:{porta}/api/connect/token/ via Postman, SoapUi, ou outro programa que realize requisições HTTP REST.

No corpo da requisição utilize no body:

• username
• password

Informações de login e senha no corpo da requisição:

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-41-23.png

O token de segurança será gerado e já poderá ser utilizado no cabeçalho das requisições subsequentes às API's disponibilizadas pela TOTVS.

Token de Segurança gerado com sucesso e pronto para ser utilizado:

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-42-0.png

Utilize o token gerado incluindo-o no cabeçalho da requisição através da diretiva:

• Authorization: Bearer {token}

Inclusão do token no cabeçalho da requisição:

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-42-28.png

Após a inclusão do cabeçalho de autorização, realize uma requisição HTTP em uma das API's disponibilizadas pela TOTVS e verifique o resultado.

Requisição realizada na API de Usuário utilizando o token gerado:

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-42-47.png

Verifique que a requisição foi realizada com sucesso e os dados foram apresentados corretamente.

• Falha na requisição. Token expirado:

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-43-3.png

Renovação do Token

Exemplo de utilização - Sucesso:

Realize uma requisição http ao endpoint http(s)://{dominio}:{porta}/api/connect/token/ via Postman, SoapUi, ou outro programa que realize requisições http rest.

Na requisição deve-se utilizar o método POST.

No corpo da requisição utilize no body:

• refresh_token
• grant_type

Linha RM > Autorização / Autenticação em API's > image2021-3-16_15-29-50.png

Token de Segurança gerado com sucesso e pronto para ser utilizado:

Linha RM > Autorização / Autenticação em API's > image2021-3-16_15-30-25.png

Autenticação Basic

A autenticação do tipo Basic não é recomendada pelo seu baixo nível de segurança. Sempre que possível, opte pela autenticação Bearer explicada acima

COMO UTILIZAR

Exemplo de utilização - Sucesso:

Realizando autenticação Basic no Postman:

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-38-29.png

Perceba que o código HTTP 401 (Unauthorized) foi apresentado, quando o usuário, por algum motivo, não pode ser autenticado na aplicação.

• Falha na autenticação do Usuário "teste":

Linha RM > Autorização / Autenticação em API's > image2020-3-19_17-39-16.png