Description
1 - No trecho abaixo do ANEXO II da API PIX, página 37, não fica claro se precisamos disponibilizar um endpoint público para o usuário recebedor a primeiro momento. Podemos gerar o token internamente no OAuth 2.0 e compartilhar as credenciais com o cliente utilizando os canais que julgarmos mais adequados?
"Por jornada de adesão, entende-se o processo por meio do qual um usuário recebedor passa a utilizar
os serviços de um PSP específico. Do ponto de vista da API Pix, tal processo deve incluir o fornecimento
de credenciais de acesso (Client_IDs e senhas) e de certificados ao usuário recebedor.
Cada PSP terá autonomia para definir a jornada de Adesão para os seus clientes, utilizando os canais
que julgar mais adequados"
2 - É necessário termos o endpoint /refresh no primeiro momento? Caso necessário, para Novembro, usuário recebedor não poderia apenas gerar um novo TOKEN no endpoint /token?
3 - Internamente na PAGs nós já estavamos em processo de construção do "Authorization Code Flow" do OAuth 2.0.
Podemos utilizar ele no cenário onde um eCommerce permite que um Marketplace realize transações em seu nome?
4 - Qual o método indicado pelo BC para realizar a autenticação e autorização nos endpoints /token e /refresh?
Podemos usar o Authorization Bearer com o access token que o usuário já possui?
5 - Precisamos respeitar o prefixo /oauth em /oauth/token e /oauth/refresh?