Todas as APIs públicas do PagSeguro requerem autenticação. Através da autenticação, identificamos e autorizamos o integrador a utilizar nossas APIs e seus recursos, bem como eventuais configurações adicionais.
Primeiro passo: Criar uma conta no nosso ambiente de Sandbox
https://acesso.pagseguro.uol.com.br/sandbox
Segundo passo: Gerar um Client ID OAuth 2.0, Client Secret OAuth 2.0 e Certificado Digital mTLS
Para gerar suas credenciais, abra uma solicitação no Portal PagSeguro, através do link abaixo, informando o nome da sua empresa e o e-mail registrado na Pagseguro. As chaves de acesso (client_id, client_secret e certificado digital) são confidenciais e recomendamos não compartilhá-las em ambientes públicos ou com terceiros.
Link: https://app.pipefy.com/public/form/z7Uas1lI
O SLA de resposta é de até 2 dias úteis
Terceiro passo: Gerar um token de acesso com escopos vinculados
O access token é a forma como identificamos o dono do recurso, o cliente/aplicação que solicitou acesso e as autorizações concedidas, por isso, ele deverá ser enviado em todas as requisições.
Importante: O token tem validade de 1 ano, ou seja, pode ser usado para todas as requisições aplicáveis aos escopos associados.
Escopos
Os access tokens podem estar associados a um único escopo ou vários escopos, podendo ter diferentes combinações.
Exemplos:
- Você pode gerar um token apenas para um escopo;
- Você pode gerar outro token para mais de um escopo e com combinações diferentes;
- Ou pode gerar outro token com todos os escopos do PIX.
Abaixo estão os escopos disponíveis para a API PIX:
| Nome | Permissão |
|---|---|
cob.write | Permissão para alteração de cobranças imediatas |
cob.read | Permissão para consulta de cobranças imediatas |
pix.write | Permissão para alteração de Pix |
pix.read | Permissão para consulta de Pix |
webhook.write | Permissão para alteração do webhook |
webhook.read | Permissão para consulta do webhook |
payloadlocation.write | Permissão para alteração de payloads |
payloadlocation.read | Permissão para consulta de payloads |
Configurando o Certificado Digital
Para solicitar um access token e utilizar a API PIX será necessário informar um certificado digital válido e ativo no header de cada requisição. Além disso, é preciso configurá-lo no POSTMAN, você consegue fazê-lo clicando no ícone da engrenagem, disponível no canto superior direito:
Settings > Settings > Certificates > Add Certificate.
CRT File = Arquivo .pem
KEY File = Arquivo .Key
Os certificados digitais utilizados na API PIX garantem que as chamadas serão sempre assinadas e que a origem é confiável, trazendo mais segurança para toda a operação.
O certificado sempre será fornecido pelo Pagseguro, você irá recebê-lo junto com o seu CLIENT_ID e CLIENT_SECRET via pipefy.