{origin}/oauth. Cada requisição carrega um JWT
como Bearer token.
Token rápido (servidor-a-servidor)
Para serviços de backend e scripts, troque as credenciais da conta por um JWT:OAuth 2.0 (aplicações de terceiros)
Use o fluxo authorization-code + PKCE para clientes que agem em nome de um usuário.Descoberta
Os clientes descobrem o servidor de autorização por meio de documentos de metadados padrão:| Documento | Caminho |
|---|---|
| Metadados do servidor de autorização | /.well-known/oauth-authorization-server |
| Metadados do recurso protegido (MCP) | /.well-known/oauth-protected-resource/mcp |
401 com um header WWW-Authenticate, então clientes MCP
compatíveis com a especificação inicializam o fluxo OAuth automaticamente.
Fluxo
GET /oauth/authorizecomresponse_type=code,client_id,redirect_uri,code_challenge,code_challenge_method=S256estate.- O usuário se autentica e aprova; a iZap redireciona de volta com
code. POST /oauth/tokencomgrant_type=authorization_code,code,redirect_uriecode_verifier→ retorna umaccess_token(JWT) e umrefresh_token.
POST /oauth/register. Renove um
token expirado com grant_type=refresh_token.
Notas sobre tokens
- O token de acesso é um JWT — trate-o como um segredo e leia-o a partir de uma variável de ambiente, nunca o deixe fixo no código.
- Os tokens expiram. Renove-os (fazendo login novamente ou via OAuth refresh grant)
quando uma requisição retornar
401.