Saltar para o conteúdo principal
Didit angaria 2M $ e junta-se à Y Combinator (W26)
Didit
Voltar ao blog
Blog · 7 de março de 2026

Aceder à API Didit com Credenciais de Cliente OAuth 2.0 em Python (PT-PT)

Dominar a autenticação de API é crucial para uma integração segura e eficiente. Este guia detalha a implementação do fluxo de Credenciais de Cliente OAuth 2.

Por DiditAtualizado
implementing-oauth-2-0-client-credentials-flow-for-didit-api-access-in-python.png

Acesso Seguro à APIA implementação do Fluxo de Credenciais de Cliente OAuth 2.0 é essencial para proteger a comunicação servidor-servidor com a API Didit, salvaguardando dados sensíveis de verificação de identidade.

Guia de Implementação em PythonEste artigo fornece um guia passo a passo em Python, incluindo exemplos de código, para obter e atualizar tokens de acesso para chamadas à API Didit.

Compreender a Limitação de TaxaAprenda como as políticas de limitação de taxa da Didit protegem a estabilidade da API e como implementar as melhores práticas, como o "exponential backoff", para evitar interrupções de serviço.

Abordagem "Developer-First" da DiditA Didit oferece uma experiência verdadeiramente "developer-first" com registo programático, APIs "clean" e documentação abrangente, tornando a integração simples e eficiente.

Compreender o Fluxo de Credenciais de Cliente OAuth 2.0 para Acesso à API

No mundo das integrações de API, a segurança é primordial. Quando a sua aplicação precisa de aceder diretamente à API de um serviço, sem a intervenção do utilizador, o Fluxo de Credenciais de Cliente OAuth 2.0 é o método padrão da indústria para autenticação segura. Este fluxo é ideal para interações servidor-servidor, serviços em segundo plano ou comunicação máquina-máquina onde não há um utilizador final para consentir o acesso a dados. Em vez disso, a própria aplicação é autenticada usando as suas próprias credenciais.

Para uma plataforma robusta de verificação de identidade como a Didit, garantir o acesso à API é inegociável. O Fluxo de Credenciais de Cliente garante que apenas aplicações autorizadas podem interagir com o poderoso conjunto de serviços de identidade da Didit, como Verificação de ID, "Liveness" Passivo e Ativo, e "AML Screening". Este método envolve a troca de um ID de cliente e um segredo de cliente (ou chave de API) por um token de acesso de curta duração, que é então usado para autorizar pedidos subsequentes da API. Esta separação de preocupações aumenta a segurança, evitando a exposição direta de credenciais de longa duração em cada chamada de API.

Primeiros Passos com a Didit: Registo e Recuperação de Credenciais

A Didit orgulha-se de ser uma plataforma de identidade nativa de IA e "developer-first". Isto significa que começar foi projetado para ser o mais contínuo possível, mesmo para acesso programático. Ao contrário de muitas plataformas que exigem registo manual baseado em navegador, a Didit permite registar e recuperar as suas credenciais com apenas duas chamadas de API.

Primeiro, inicia o processo de registo, geralmente fornecendo um e-mail. A Didit envia então um OTP (One-Time Password) para esse e-mail. O segundo passo é verificar este e-mail com o código OTP. Após a verificação bem-sucedida, a Didit cria automaticamente uma organização e uma aplicação padrão para si, devolvendo os seus tokens de acesso, ID de cliente e, crucialmente, a sua api_key. Esta api_key serve como o seu segredo de cliente para o Fluxo de Credenciais de Cliente e deve ser tratada com a máxima confidencialidade.

Alternativamente, se já tiver uma organização e aplicação, pode recuperar as suas credenciais diretamente usando a API de Autenticação da Didit. Por exemplo, usar um pedido GET para /organizations/me/{org_id}/applications/{app_id}/ devolverá o client_id e a api_key da sua aplicação. Isto simplifica o processo de configuração, permitindo que os programadores integrem rapidamente e comecem a alavancar os "primitives" de identidade modulares da Didit.

Implementar o Fluxo de Credenciais de Cliente OAuth 2.0 em Python

Agora, vamos mergulhar na implementação prática da obtenção de um token de acesso usando Python. A ideia central é enviar um pedido POST para o "endpoint" de token da Didit, fornecendo o seu ID de cliente e chave de API. A resposta conterá o seu token de acesso e o seu tempo de expiração.


import requests
import os

# Substitua pelo seu client_id e api_key reais
CLIENT_ID = os.environ.get("DIDIT_CLIENT_ID")
API_KEY = os.environ.get("DIDIT_API_KEY") # Este é o seu client_secret

TOKEN_URL = "https://apx.didit.me/auth/v2/oauth2/token"

def get_access_token():
    headers = {
        "Content-Type": "application/x-www-form-urlencoded"
    }
    data = {
        "grant_type": "client_credentials",
        "client_id": CLIENT_ID,
        "client_secret": API_KEY
    }

    try:
        response = requests.post(TOKEN_URL, headers=headers, data=data)
        response.raise_for_status() # Lança uma exceção para erros HTTP
        token_data = response.json()
        return token_data.get("access_token"), token_data.get("expires_in")
    except requests.exceptions.RequestException as e:
        print(f"Erro ao obter token de acesso: {e}")
        return None, None

access_token, expires_in = get_access_token()

if access_token:
    print(f"Token de acesso obtido com sucesso: {access_token[:30]}...")
    print(f"Token expira em: {expires_in} segundos")

    # Exemplo de uso do token de acesso para uma chamada de API subsequente
    # (substitua por um endpoint e método reais da API Didit)
    # API_ENDPOINT = "https://apx.didit.me/api/v2/some-didit-service"
    # auth_headers = {
    #     "Authorization": f"Bearer {access_token}"
    # }
    # try:
    #     api_response = requests.get(API_ENDPOINT, headers=auth_headers)
    #     api_response.raise_for_status()
    #     print("Chamada de API bem-sucedida:", api_response.json())
    # except requests.exceptions.RequestException as e:
    #     print(f"Erro ao fazer chamada de API: {e}")

Este "snippet" de Python demonstra como fazer o pedido POST necessário. Lembre-se de armazenar o seu CLIENT_ID e API_KEY de forma segura, idealmente usando variáveis de ambiente, como mostrado no exemplo.

Considerações sobre Gestão de Tokens e Limitação de Taxa

Os tokens de acesso são tipicamente de curta duração por razões de segurança. É crucial implementar uma estratégia para atualizar os tokens antes que expirem. Isso geralmente envolve armazenar o token e o seu tempo de expiração, e depois solicitar um novo token quando o atual estiver a aproximar-se da expiração. O campo expires_in da Didit na resposta do token indica exatamente quanto tempo o token é válido, permitindo-lhe construir uma lógica de atualização robusta.

Outro aspeto crítico da integração de API é compreender e respeitar os limites de taxa. A Didit, como qualquer API bem projetada, impõe limites de taxa para manter a estabilidade e garantir o uso justo. Por exemplo, a Didit geralmente permite 300 pedidos por minuto por aplicação para "endpoints" GET e Write/Delete. Para operações de alto impacto, como a criação de sessões (POST /v2/session/), podem existir limites específicos e mais restritivos (por exemplo, 600 rpm para "workflows"). Quando a sua aplicação excede estes limites, a Didit devolverá um código de estado HTTP 429 Too Many Requests, juntamente com cabeçalhos úteis como X-RateLimit-Limit, X-RateLimit-Remaining e X-RateLimit-Reset (segundos de época) para guiar a sua estratégia de "throttling". O cabeçalho Retry-After é particularmente útil para implementar o "exponential backoff", uma estratégia recomendada para lidar graciosamente com violações de limites de taxa.

A implementação de uma gestão de tokens adequada e o cumprimento dos limites de taxa garantem que a sua integração com a Didit seja segura e fiável, evitando interrupções de serviço desnecessárias.

Como a Didit Ajuda

A Didit simplifica desafios complexos de verificação de identidade com a sua plataforma nativa de IA e "developer-first". A nossa arquitetura modular permite-lhe "plug-and-play" os controlos de identidade exatos de que necessita, desde a Verificação de ID abrangente (incluindo OCR, MRZ e códigos de barras) e deteção avançada de "Liveness" Passivo e Ativo para prevenir "deepfakes", até "Face Match" e "Face Search" 1:1 para autenticação biométrica, e "AML Screening" e Monitorização robustos para conformidade. Os nossos produtos de Prova de Endereço, Estimativa de Idade (com preservação da privacidade) e Verificação de Telefone e E-mail melhoram ainda mais a sua capacidade de construir "workflows" de verificação personalizados.

A Didit destaca-se por oferecer Free Core KYC, eliminando taxas de configuração e fornecendo uma Consola de Negócios "no-code" poderosa juntamente com APIs "clean" para programadores. Esta flexibilidade significa que pode integrar a Didit nos seus sistemas existentes com facilidade, quer prefira o desenvolvimento impulsionado por API ou um construtor de "workflow" visual. O nosso compromisso com dados de identidade estruturados e design global garante que os seus processos de verificação são eficientes, escaláveis e compatíveis em todo o mundo. O registo programático e a recuperação de credenciais, como destacado neste "post", são apenas um exemplo de como a Didit prioriza uma experiência de programador contínua, permitindo-lhe focar-se na construção em vez de navegar por complexos obstáculos de autenticação.

Pronto para Começar?

Pronto para ver a Didit em ação? Obtenha uma demonstração gratuita hoje.

Comece a verificar identidades gratuitamente com o nível gratuito da Didit.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
Credenciais de Cliente OAuth 2.0 para API Didit em Python.