Atualização de segurança nas APIs do Pandapé – Central de Ajuda do Pandapé ATS

Recentemente, atualizamos os certificados de criptografia utilizados para a emissão e validação dos tokens JWT.

Nota: Com essa atualização, tokens gerados antes de 15/10/2025 deixarão de ser aceitos, mesmo que ainda estejam dentro do prazo de validade.

Essa mudança tem como objetivo reforçar a segurança e a confiabilidade na comunicação entre os sistemas.

Neste artigo, explicamos as principais alterações técnicas e o que é necessário fazer para continuar utilizando as APIs sem interrupções.

Confira os tópicos abordados neste artigo:

O que mudou?

Foi realizada uma atualização nos certificados de criptografia usados para emitir e validar os tokens JWT das nossas APIs. Por conta dessa mudança, os tokens gerados antes de 15/10/2025, mesmo que ainda estejam dentro do prazo de validade, não serão mais aceitos.

Por que isso é importante?

Nosso objetivo é aumentar a segurança e a confiabilidade na comunicação entre nossos sistemas. As ações necessárias relacionadas à requisição de tokens e os ajustes propostos garantem que nossas camadas de segurança reconheçam suas requisições como legítimas, evitando bloqueios automáticos e assegurando a emissão correta dos tokens.

O que é preciso fazer?

Para continuar utilizando as APIs sem interrupções, é necessário gerar um novo token de autenticação com as devidas configurações que explicamos a seguir.

Como gerar um novo token?

Esta é uma configuração técnica que garante a comunicação segura entre sistemas. Por isso, sugerimos que o seu time técnico realize esta operação, para evitar qualquer interrupção no uso das APIs e garantir que o processo seja feito corretamente.

Passos a seguir:

Envie uma requisição POST para a seguinte URL: https://login.pandape.com.br/connect/token
Obrigatório usar o seguinte Content-Type conforme o modelo abaixo:
application/x-www-form-urlencoded
No corpo da requisição, use:

grant_type=client_credentials&client_id=SEU_CLIENT_ID&client_secret=SEU_CLIENT_SECRET

4. Obrigatório usar a padronização do identificador User-Agent conforme o modelo abaixo:

Pandape-ApiClient-SEU_CLIENT_ID

Exemplo prático:

Se o seu CLIENT_ID for “MinhaEmpresaApiClient”, o cabeçalho deve ser configurado assim:

User-Agent: Pandape-ApiClient-MinhaEmpresaApiClient

Dessa forma, a requisição completa para obtenção do token ficará assim:

POST: https://login.pandape.com.br/connect/token
Content-Type: application/x-www-form-urlencoded
User-Agent: Pandape-ApiClient-MinhaEmpresaApiClient
grant_type=client_credentials&client_id=MinhaEmpresaApiClient&client_secret=XXXXXXXX

Como encontrar o Client ID e Client Secret da sua empresa?

Client ID e Client Secret são variáveis únicas atribuídas para cada empresa que utiliza o Pandapé. Para encontrá-los, siga as etapas a seguir:

1. Na página Dashboard da sua conta do Pandapé, vá até o menu de configuração (ícone de engrenagem).

2. Na seção Outras configurações, acesse Webhooks e APIs.

3. Pronto! O seu Client ID e o Client Secret estarão dentro da seção de Informações de acesso à API, como mostramos a seguir:

Nota: Lembramos que os tokens gerados têm validade por tempo determinado. Após o vencimento, será necessário gerar um novo token para continuar utilizando as APIs normalmente.

Caso tenha qualquer dúvida ou encontre dificuldades durante o processo, entre em contato com o nosso time de suporte. Estamos à disposição para ajudar você a garantir que tudo continue funcionando corretamente.