txid você gera, eles tem um SDK (onde tem função para gerar txid, brcode (seria a linha digitável), qrcode (a imagem que vai ser scaneada)), daqui a pouco alguém da GN te passa...
:chave sim é a chave principal da conta.
Oauth tem que usar, na minha integração eu armazeno por 50 minutos depois na próxima requisição eu gero um novo, para evitar ficar solicitando um token a cada request.