A chave publica deve ser fixa... pegue uma vez e ponha no codigo
Termos mais procurados:
Histórico de mensagens sobre n
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Repetição do Processo de Criação com txid
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Implementação do Módulo Gerencianet no Perfex CRM
- Problemas com Token em Ambiente de Homologação
- Implementação da SDK do Pix em Next.js ou React
- Endpoint para Recuperar Saldo
- Recebimento de Pagamentos via QR Code e Arduino
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Teste de Status de Pagamento em Ambiente de Homologação
- Atualização de informações no Retentiva de Cobrança
- Autenticação com Certificado em NextJS
- Geração de payment_token pelo Postman e teste em homologação
- Cobrança em Período de Teste Grátis de 7 dias
- Integrações com o Laravel e SDK de PHP da EFI
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Utilização de Endpoints e Payload no Pix
- Retenção de Pagamento no PIX em Marketplace
- Especificação da URL do Webhook no Exemplo Pix
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Cancelamento de Boleto e Remoção do DDA
- Funcionamento do Webhook em Ambiente de Homologação
- Integração da API do Pix em Sistema Próprio
EXIBINDO CONVERSAS RECENTES:
Texto: n
Data: 27/08/2022
Access to fetch at 'https://sandbox.gerencianet.com.br/v1/pubkey' from origin ' ' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.
Infelizmente devido a politica de CORS.
Isso é suficiente. Vamos conseguir fazer no front, mas vai ser necessário criar um proxy.
O SDK para iOS dá uma idéia de como é:
https://github.com/gerencianet/gn-api-sdk-ios/blob/master/GNApiSdk/RSA.m
Minha ideia é saber o algoritmo e se o passo a passo pode ser replicado no frontend. Caso não exista uma politica de CORS.
Em nenhum momento eu disse que iria fazer algo no backend. Quem concluiu isso foi você.
Eu não sou da Gerencianet. Estou te passando a real da gravidade que é fazer o que você está sugerindo.
Eu não quero levar nada para o backend. Mas quem deu essa solução foram vocês. Pergunto novamente. Existe alguma diferença entre o que o script faz e o que será feito no backend?
Ok, então entenda as implicações dessa escolha, que são muito mais trabalhosas do que depurar código jquery minificado. Você passa a ter uma complexidade estrutural similar à da Gerencianet.
Não é do nosso interesse depurar código jquery minificado. Acredito que o mínimo de um parceiro de pagamento seria fornecer uma interface limpa e moderna para os browsers.
Não queremos transferir nada para o back, mas não temos escolha.
@.mrbender já pode ir pedindo cotação de auditoria PCI para um dos auditores que atenda o mercado brasileiro:
https://listings.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
(E isso só a parte de auditar, precisa também fazer uma infra segura que passe na auditoria...)
Tipicamente se usa chave assimétrica, ou seja, criptografia que só o gateway consegue decodificar. Sempre dá para colocar isso ou no front ou no back, o problema é a gravíssima consequência de você transitar dados de cartão você tendo acesso a eles.
Então é tentar entender pq isso acontece e resolver, não transferir isso pro back-end.
A forma de gerar esse payment_token no backend usa algum tipo de chave privada ou existe algum outro empecilho para que não possa ser feito a mesma coisa no frontend (Como CORS, por exemplo)?
Eu compreendo, mas não podemos continuar usando no nosso front. Está comprometendo a experiência dos usuários mobile em tempo de resposta e as vezes nem mesmo o callback da função de inicialização acontece.
Só que não usar aquele script aumenta brutalmente sua superfície de exposição e requer auditoria PCI.
Boa tarde, @.mrbender. Vou iniciar um atendimento e te passar os detalhes.
Boa tarde! Alguém poderia me encaminhar algum exemplo ou a documentação da emissão do payment_token sem a necessidade do JavaScript? Infelizmente teremos que recorrer a essa proposta. Está inviável continuar usando aquele script.