Pular para o conteúdo principal

Autenticação

As rotas protegidas (ordens, carteiras, perfil, dashboard) usam JWT no header.

JWT (Bearer)

  1. Faça POST /auth/login com e-mail e senha (veja Auth — login).
  2. Use o campo token da resposta:
Authorization: Bearer SEU_JWT_AQUI

O token tem validade limitada (ex.: 7 dias); renove com novo login quando expirar.

Rotas públicas (pagamento)

Endpoints como GET /pay/tx-request/:reference e POST /pay/:reference/submit-tx são públicos para o fluxo do pagador no navegador. Não coloque o JWT em páginas ou apps expostos ao cliente final.

Recomendações

  • Guarde o token só no backend ou em ferramentas seguras.
  • Nunca commite tokens em repositórios; use variáveis de ambiente ou secret manager.