[Resolvido] API Itaú PIX - 403 Authentication Failed

[elizandro.santos]

Pessoal tudo bom,

estava com o mesmo erro e resolvi com a dica do @ismaelhvaz de 2 URL diferentes

• emitir: https://api.itau.com.br/cash_management/v2/boletos
• consultar: https://secure.api.cloud.itau.com.br/boletoscash/v2/boletos

BOLETO_URL_EMITIR=https://api.itau.com.br/cash_management/v2
BOLETO_URL_CONSULTAR=https://secure.api.cloud.itau.com.br/boletoscash/v2/boletos

Na documentação é horrível entender isso mas com isso resolvi, muito obrigado a todos!

[CarlosBeralto]

Boa tarde a todos,

Agora estou também quebrando cabeça na boleto Api. Uma dica que dou, solicitando o registro do boleto pela Api /pix_recebimentos_conciliacoes/v2 já é gerado o Bolecode (Boleto com Pix integrado). Eu consegui registrar com as mesmas credenciais e certificado usados no pix. E a payload json é a mesma da api cash_management de boleto, exceto que também é passado a chave pix para esta api.

 

Nome da Api no portal developer Itau: Recebimentos Pix - API exclusiva Itaú

[CarlosBeralto]

Em 03/11/2022 at 11:37, jorge de barros delgado disse:

Galera por fsavor estou quebrando a cabeça a dias com a integração do boleto itau porém não encontrei nem o endpoint que utliza para gerar o boleto, nem nada. Alguém pode me ajudar a pelo menos encontrar a documentação certa, pois ja li que é a mesma do pix mas não achei nada de endpoint ja li tmabém que é aquela Cash Manager mas só fala de ver detalhes do poagamento por boleto..

Olá Jorge, Caso ainda esteja com dificuldades verifique as etapas abaixo:

1 - Ter cadastro de desenvolvedor no portal https://devportal.itau.com.br/

2 - Obter do suporte do banco a liberação de todas as Apis disponíveis, quando você se cadastra apenas as api de open bank estão disponíveis, as demais necessitam de liberação do banco para que apareçam para você. É provável que o contato precise partir de um cliente CNPJ que tenha conta ativa no banco.

 

[CarlosBeralto]

Em 03/11/2022 at 09:52, ismaelhvaz disse:

Olá Jhonlemon, a url para registro de boleto é essa mesma, para consulta de boleto é https://secure.api.cloud.itau.com.br/boletoscash/v2/boletos

Verifica se o access token que você esta enviando no Authorization, é mesmo que esta sendo enviado no x-itau-apikey (no x-itau-apikey é sem o 'Bearer')

Boa tarde Ismael,

Acho que segui as suas dicas e ainda recebo um 403 - Forbiden da Api, pode por gentileza olhar o log abaixo e me dizer se encontra algo de errado na consulta?

Quanto ao token que envio lá no Authorization e no x-itau-apikey, creio que estão ok, apaguei parte deles no log...

 

Sent 30/11/2022 16:29:16: GET /boletoscash/v2/boletos?id_beneficiario=851600181644&codigo_carteira=109&nosso_numero=12345678 HTTP/1.1
Content-Type: application/json
Authorization: Bearer eyJraWQiO[ocultado]
x-itau-apikey: eyJraWQiO[ocultado]
x-itau-correlationID: {E4A255DE-6D8A-4198-99E3-4E33A4F372A0}
x-itau-flowID: {EB423464-E8F4-4977-8BE6-E3E93E0478A4}
Host: secure.api.cloud.itau.com.br
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/3.0 (compatible; Indy Library)

Recv 30/11/2022 16:29:16: HTTP/1.1 403 Forbidden
x-amzn-RequestId: c1631a2b-0a2e-4f85-a460-198f4237d2cc
x-amzn-ErrorType: ForbiddenException
x-amz-apigw-id: cbhKEG9dmjQFUnA=
content-type: application/json
content-length: 23
date: Wed, 30 Nov 2022 19:29:16 GMT

{"message":"Forbidden"}
Stat Disconnected.

[elizandro.santos]

Pessoal, por acaso alguém conseguiu fazer a baixa de boleto, a API aparece o mesmo erro quando tento cancelar um boleto, utilizando as mesmas credenciais para consultar funciona ok, mas cancelar apresenta falha de autenticação!

API: patch/boletos/{id_boleto}/baixa

 

Alguém consegui fazer baixa?

[Jhonlemon Barabosa Ribeiro]

3 minutos atrás, elizandro.santos disse:

Pessoal, por acaso alguém conseguiu fazer a baixa de boleto, a API aparece o mesmo erro quando tento cancelar um boleto, utilizando as mesmas credenciais para consultar funciona ok, mas cancelar apresenta falha de autenticação!

API: patch/boletos/{id_boleto}/baixa

 

Alguém consegui fazer baixa?

Eu consegui...eu sugiro que vc teste no postman....esse erro ai pode ser liberação no token ai vc teria que ver com suporte do itaú

[ismaelhvaz]

15 minutos atrás, CarlosBeralto disse:

Boa tarde Ismael,

Acho que segui as suas dicas e ainda recebo um 403 - Forbiden da Api, pode por gentileza olhar o log abaixo e me dizer se encontra algo de errado na consulta?

Quanto ao token que envio lá no Authorization e no x-itau-apikey, creio que estão ok, apaguei parte deles no log...

 

Sent 30/11/2022 16:29:16: GET /boletoscash/v2/boletos?id_beneficiario=851600181644&codigo_carteira=109&nosso_numero=12345678 HTTP/1.1
Content-Type: application/json
Authorization: Bearer eyJraWQiO[ocultado]
x-itau-apikey: eyJraWQiO[ocultado]
x-itau-correlationID: {E4A255DE-6D8A-4198-99E3-4E33A4F372A0}
x-itau-flowID: {EB423464-E8F4-4977-8BE6-E3E93E0478A4}
Host: secure.api.cloud.itau.com.br
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/3.0 (compatible; Indy Library)

Recv 30/11/2022 16:29:16: HTTP/1.1 403 Forbidden
x-amzn-RequestId: c1631a2b-0a2e-4f85-a460-198f4237d2cc
x-amzn-ErrorType: ForbiddenException
x-amz-apigw-id: cbhKEG9dmjQFUnA=
content-type: application/json
content-length: 23
date: Wed, 30 Nov 2022 19:29:16 GMT

{"message":"Forbidden"}
Stat Disconnected.

Olá Carlos,

Olhei seu log e aparentemente está tudo correto, mas não consegui encontrar os arquivo de certificado (.crt e .key). Como você esta usando o host de produção secure.api.cloud.itau.com.br, é necessário enviar o certificado além do token.

No link https://devportal.itau.com.br/certificado-dinamico você encontra os passo para gerar o certificado.

É um pouco trabalho, o pessoal do Itaú não quis nem saber em facilitar para o desenvolvedor. Em resumo, você (ou o seu cliente com conta no Itaú) precisa entrar em contato com o gerente do banco e solicitar as abertura do processo de credenciais chamado Implantação Cash/API de Cobrança Empresa/Implantação/API. Para abrir esse processo de credenciais, ele vão te solicitar uma chave pública para criptografar os dados (as vezes eles nem pedem, e já mandam se criptografia), com esses dados em mãos, você consegue seguir com os passos do link acima.

No link também mostra como gerar a chave pública.

Espero ter ajudado.

[ismaelhvaz]

28 minutos atrás, CarlosBeralto disse:

Boa tarde Ismael,

Acho que segui as suas dicas e ainda recebo um 403 - Forbiden da Api, pode por gentileza olhar o log abaixo e me dizer se encontra algo de errado na consulta?

Quanto ao token que envio lá no Authorization e no x-itau-apikey, creio que estão ok, apaguei parte deles no log...

 

Sent 30/11/2022 16:29:16: GET /boletoscash/v2/boletos?id_beneficiario=851600181644&codigo_carteira=109&nosso_numero=12345678 HTTP/1.1
Content-Type: application/json
Authorization: Bearer eyJraWQiO[ocultado]
x-itau-apikey: eyJraWQiO[ocultado]
x-itau-correlationID: {E4A255DE-6D8A-4198-99E3-4E33A4F372A0}
x-itau-flowID: {EB423464-E8F4-4977-8BE6-E3E93E0478A4}
Host: secure.api.cloud.itau.com.br
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/3.0 (compatible; Indy Library)

Recv 30/11/2022 16:29:16: HTTP/1.1 403 Forbidden
x-amzn-RequestId: c1631a2b-0a2e-4f85-a460-198f4237d2cc
x-amzn-ErrorType: ForbiddenException
x-amz-apigw-id: cbhKEG9dmjQFUnA=
content-type: application/json
content-length: 23
date: Wed, 30 Nov 2022 19:29:16 GMT

{"message":"Forbidden"}
Stat Disconnected.

Só para complementar,

As URLs para sandbox são:

Access Token: POST https://devportal.itau.com.br/api/jwt
Registro de Boleto: POST https://devportal.itau.com.br/sandboxapi/cash_management_ext_v2/v2/boletos
Consulta de Boletos: GET https://devportal.itau.com.br/sandboxapi/cash_management_ext_v2/v2/boletos + Parâmetros

Sandbox não precisa do certificado, e a consulta de boletos é meio fake, ele retorna dados fixos e não valida corretamente os campos

As URLs para produção são:

Access Token: POST https://sts.itau.com.br/api/oauth/token
Registro de Boleto: POST https://api.itau.com.br/cash_management/v2/boletos
Consulta de Boletos: GET https://secure.api.cloud.itau.com.br/boletoscash/v2/boletos + Parâmetros

Produção precisa do certificado para qualquer interação

[CarlosBeralto]

Obrigado pela resposta Ismael, já estou ciente do funcionamento do certificado, passei por toda a novela.

Pelo meu log entendi que o certificado só é necessário no momento da obtenção do access token, nas demais chamadas da api, apenas é exigido o token, o intuito disto parece ser não sobrecarregar o servidor da Api o fazendo verificar certificados a cada solicitação do aplicativo. Digo isto pois passo sempre os certificados ao framework http que utilizo, e somente na autorização é que ele é apresentado na comunicação.

Acredido não ser este o problema, uma vez que apresento um token válido. Agora na documentação, especificamente na parte da consulta existe o seguite parágrafo:

"Para que o cliente consiga acessar nossa API de consulta de títulos, na hora do cadastro da aplicação consumidora no portal de certificados de parceiro, deve ser adicionado o scope/funcionalidade: boletoscash-boletos-consulta_titulo"

Ja vizualizei no retorno da autenticação que este scope não está lá, tentei passar no momento da requisição, não foi aceite, acredito que seja algo em que o banco é quem precisa autorizar. Vou tentar entrar em contato com o suporte.

[CarlosBeralto]

3 minutos atrás, ismaelhvaz disse:

Só para complementar,

As URLs para sandbox são:

Access Token: POST https://devportal.itau.com.br/api/jwt
Registro de Boleto: POST https://devportal.itau.com.br/sandboxapi/cash_management_ext_v2/v2/boletos
Consulta de Boletos: GET https://devportal.itau.com.br/sandboxapi/cash_management_ext_v2/v2/boletos + Parâmetros

Sandbox não precisa do certificado, e a consulta de boletos é meio fake, ele retorna dados fixos e não valida corretamente os campos

As URLs para produção são:

Access Token: POST https://sts.itau.com.br/api/oauth/token
Registro de Boleto: POST https://api.itau.com.br/cash_management/v2/boletos
Consulta de Boletos: GET https://secure.api.cloud.itau.com.br/boletoscash/v2/boletos + Parâmetros

Produção precisa do certificado para qualquer interação

Certo, como viu, parti logo para produção por que essa sandbox para boleto... uma vergonha este banco.

[ismaelhvaz]

16 horas atrás, CarlosBeralto disse:

Obrigado pela resposta Ismael, já estou ciente do funcionamento do certificado, passei por toda a novela.

Pelo meu log entendi que o certificado só é necessário no momento da obtenção do access token, nas demais chamadas da api, apenas é exigido o token, o intuito disto parece ser não sobrecarregar o servidor da Api o fazendo verificar certificados a cada solicitação do aplicativo. Digo isto pois passo sempre os certificados ao framework http que utilizo, e somente na autorização é que ele é apresentado na comunicação.

Acredido não ser este o problema, uma vez que apresento um token válido. Agora na documentação, especificamente na parte da consulta existe o seguite parágrafo:

"Para que o cliente consiga acessar nossa API de consulta de títulos, na hora do cadastro da aplicação consumidora no portal de certificados de parceiro, deve ser adicionado o scope/funcionalidade: boletoscash-boletos-consulta_titulo"

Ja vizualizei no retorno da autenticação que este scope não está lá, tentei passar no momento da requisição, não foi aceite, acredito que seja algo em que o banco é quem precisa autorizar. Vou tentar entrar em contato com o suporte.

Certo. Essa informações eu peguei do e-mail que o time de implantação do Itaú nos mandou quando solicitamos as credenciais. Eles pediram para configurar o certificado tanto para o host api.itau.com.br quanto para o sts.itau.com.br, e meus envios, tanto no postman quanto no sistema, só funcionam enviando o certificado em todas as requisições (token, registro e consulta), quando não envia, recebo 403 Forbiden.

Sobre o scope, não cheguei a usar, minhas requisições vão sem essa informação. Mas não sei se já está previamente configurada na minha carteira pelo banco.

Mas qualquer novidade, compartilha com a gente.

[alexanderrauber]

Olá @Renato Rocha você consegue me ajudar com a obtenção do access token? Estou executando o script abaixo:

E está retornando o erro: { "message" : "False Filter filter failed" }

Poderia me enviar um print do seu código que está funcionando? Agradeço a atenção e fico no aguardo.

[alexanderrauber]

1 hora atrás, alexanderrauber disse:

Olá @Renato Rocha você consegue me ajudar com a obtenção do access token? Estou executando o script abaixo:

E está retornando o erro: { "message" : "False Filter filter failed" }

Poderia me enviar um print do seu código que está funcionando? Agradeço a atenção e fico no aguardo.

[RESOLVIDO] Era um "s" que faltava em "credencials" do grant_type.

[Jhonlemon Barabosa Ribeiro]

Em 30/11/2022 at 15:43, CarlosBeralto disse:

Boa tarde a todos,

Agora estou também quebrando cabeça na boleto Api. Uma dica que dou, solicitando o registro do boleto pela Api /pix_recebimentos_conciliacoes/v2 já é gerado o Bolecode (Boleto com Pix integrado). Eu consegui registrar com as mesmas credenciais e certificado usados no pix. E a payload json é a mesma da api cash_management de boleto, exceto que também é passado a chave pix para esta api.

 

Nome da Api no portal developer Itau: Recebimentos Pix - API exclusiva Itaú

Boa noite...vc poderia postar seu código do boleto com PIX do itaú? eu fiz o boleto tradicional mais quero fazer o boleto com PIX....fiz a emissão usando cash_management

 

[andregomes]

Sistema aqui rodando, ate agora tudo certo!

[Diego Bienias]

Bom Dia a todos, 

Apenas para prestar minha colaboração, estive quebrando a cabeça com esse erro 403 Acesso negado em ambiente de produção, isso para a URL https://secure.api.itau/pix_recebimentos/v2/cob/TXID de consultta de cobrança por exemplo, testando via POSTMAN, conforme banco recomenda, tentei colocar tudo que é header apresentado nesse forum e nada.

Porém ao testar diretamente no meu código em java funcionou OK sem problemas isso mandando apenas o header "Authorization" conteudo "Bearer " + tokenGerado via https://sts.itau.com.br/api/oauth/token

Acredito que possa ser alguma configuração a mais no POSTMAN que esteja faltando mais não me preocupei em descobrir.

Não sei se em todas as outras requisições vai funcionar, mais acredito que sim.

Apenas para deixar o meu relato para ajudar quem estiver com a mesma dificuldade, fazer o teste em outra aplicação que não seja o Postman para nao perder tempo.

 

Obrigado a todos pela colaboração nesse forum.

Editado Abril 6, 2023 por Diego Bienias

[andregomes]

Provavelmente era os certificados digitais no postman

[Diego Bienias]

Sim havia esquecido de parametrizar o certificado digital para o host: "secure.api.itau" como já estava parametrizado para o token "sts.itau.com.br" funcionava OK.

[Vilmar]

Pessoal, bom dia!

Estou realizando o desenvolvimento também da API do Itaú. A parte de registrar um título já tenho pronto, porém, preciso realizar um GET do título para extrair alguns dados. Fiz um GET com os dados informados pelo @CarlosBeralto, deu certo, mas reparei que não retornou dados do pagamento, mesmo que o título esteja baixado, deveria retornar estes dados zerados, não?

 

Eu precisava realizar uma consulta ( Via Postman mesmo...) de algum título em aberto e um título PAGO. Por acaso alguém poderia me disponibilizar os PARAMS para realizar esta consulta ? Creio que não são dados sensíveis, então seria tranquilo.

[bruno sperb]

Buenas pessoal , estou suspeitando que o meu problema seja o Scope , do token , alguém que possua funcionando para boleto poderia compartilhar como vem o Scope no caso de vocês ? 


 

"scope": "payments/pix.read paymentsprovider/receipts/qrcode webhook.write cash-management/receipts/qrcode.post cash-management/receipts/qrcode.read cash-management/receipts/refund.read cobv.read cash-management/receipts/qrcode payments/pix.post cobv.write payloadlocation.read cob.write cash-management/sispag/payment cash-management/receipts/pix.read paymentsprovider/pix.read lotecobv.write paymentsprovider/pix payments/pix pix.write payloadlocation.write lotecobv.read cob.read webhook.read cash-management/sispag/payment.read pix.read cash-management/pix.refund cash-management/receipts/refund payments/webhook.read",

[Vilmar]

Bom dia pessoal!

 

@bruno sperb o scope para boleto é assim: 

"scope" : "appid-da333808-8d37-4318-9457-8faf86c56a9e escopo_default boletoscash-boletos-consulta_titulo cash_management/instrucaocobranca.write cash_management/emissaocobranca.write"

 

Lembrando que para gerar o token, além do certificado ser para PIX/BOLETOS, você precisa incluir o client_id e secret no body 'form-urlencoded' , veja 

 

Editado Junho 20, 2023 por Vilmar

[Vando BR]

Olá pessoal, estive implementando a API Boleto e API PIX do itaú em delphi, aqui na empresa.

Está tudo funcionando, depois de muitas tentativas e pesquisas, a API tem algumas URLs que mais atrapalham do que ajudam. Mas enfim, tenho algumas dúvidas sobre o certificado e queria saber se algum de vocês sabem me dizer....

1 - Pensando em segurança... Os arquivos "Certificado.crt" e "ChavePrivada.key" que são gerados, podem ficar junto com a aplicação ou não?

Pergunto isso porque o sistema que temos é utilizado por dezenas de usuários em cidades diferentes, que nesse caso, precisaria dos arquivos crt e key junto com o executável para que as requisições funcionem... Um usuário mal intencionado, poderia fazer mal uso desses dois arquivos?

2 - No tutorial do itaú, vi que eles sugerem a geração do arquivo .PFX + Senha, eu fiz a geração desse arquivo pras duas API. E daí vem minha dúvida principal: 

É possível fazer a autenticação no delphi com indy, usando o arquivo "PFX + senha"? (E "descartar" o crt e key).

Desde já obrigado pela ajuda contida aqui ^^

 

[Jhonlemon Barabosa Ribeiro]

20 horas atrás, Vando BR disse:

Olá pessoal, estive implementando a API Boleto e API PIX do itaú em delphi, aqui na empresa.

Está tudo funcionando, depois de muitas tentativas e pesquisas, a API tem algumas URLs que mais atrapalham do que ajudam. Mas enfim, tenho algumas dúvidas sobre o certificado e queria saber se algum de vocês sabem me dizer....

1 - Pensando em segurança... Os arquivos "Certificado.crt" e "ChavePrivada.key" que são gerados, podem ficar junto com a aplicação ou não?

Pergunto isso porque o sistema que temos é utilizado por dezenas de usuários em cidades diferentes, que nesse caso, precisaria dos arquivos crt e key junto com o executável para que as requisições funcionem... Um usuário mal intencionado, poderia fazer mal uso desses dois arquivos?

2 - No tutorial do itaú, vi que eles sugerem a geração do arquivo .PFX + Senha, eu fiz a geração desse arquivo pras duas API. E daí vem minha dúvida principal: 

É possível fazer a autenticação no delphi com indy, usando o arquivo "PFX + senha"? (E "descartar" o crt e key).

Desde já obrigado pela ajuda contida aqui ^^

 

Boa tarde...infelizmente você não consegui usar o arquivo.pfx no indy...apenas .crt, .pem e .cer...em relação a segurança do certificado, talvez seria bom vc salvar o conteúdo do certificado .crt ou .pem no banco de dados....ai vc poderia o certificado .crt e .key em tempo de execução e depois do uso deletar o mesmo.

[Vando BR]

Em 24/09/2023 at 12:48, Jhonlemon Barabosa Ribeiro disse:

Boa tarde...infelizmente você não consegui usar o arquivo.pfx no indy...apenas .crt, .pem e .cer...em relação a segurança do certificado, talvez seria bom vc salvar o conteúdo do certificado .crt ou .pem no banco de dados....ai vc poderia o certificado .crt e .key em tempo de execução e depois do uso deletar o mesmo.

Obrigado pela solução, funcionou e é bem melhor do que distribuir os arquivo junto com o instalador.

[Ted Wagner]

Pessoal, 

Sei que o post é antigo mas alguém implementou a baixa?

https://api.itau.com.br/cash_management/v2/boletos/{idBoleto}/baixa?

Tô tentando mas está dando 403 Authentication Failed tb

Editado Outubro 2, 2023 por Ted Wagner