Inicio
DocumentaciĂłn
Recursos
Partners
Comunidad

Recursos

Revisa las actualizaciones de nuestras soluciones y operatividad del sistema o pide soporte técnico.

Partners

Conoce nuestro programa para agencias o desarrolladores que ofrecen servicios de integraciĂłn y vendedores que quieren contratarlos.

Comunidad

Recibe las Ășltimas novedades, pide ayuda a otros integradores y comparte tus conocimientos.

OAuth - Seguridad - Mercado Pago Developers

OAuth

OAuth es un protocolo de autorización que permite que las aplicaciones tengan acceso limitado a la información privada de las cuentas de Mercado Pago. A través del protocolo HTTP, introduce una capa de autenticación y autorización, que consiste en solicitar acceso a los recursos protegidos de los vendedores mediante un Access token limitado a una aplicación en particular. Esto se logra sin necesidad de obtener las credenciales de los vendedores a través de los flujos de acceso.

Nota
El uso del protocolo OAuth difiere del proceso de uso compartido de credenciales. OAuth no aborda cuestiones relacionadas con la autenticación del cliente, ni información relacionada con la misma. Su responsabilidad radica en los métodos de obtención de un token para acceder a un recurso.

A la hora de utilizar OAuth, es importante tener en cuenta ciertos aspectos para que la integraciĂłn funcione correctamente. Accede a las Buenas prĂĄcticas de integraciĂłn de OAuth y consulta una guĂ­a de posibles errores y de buenas prĂĄcticas a tener en cuenta.

Access Token

És un cĂłdigo utilizado en diferentes requests de origen pĂșblico para acceder a un recurso protegido y representa una autorizaciĂłn otorgada por un vendedor a una aplicaciĂłn cliente, que contiene scopes y un tiempo de vigencia limitado para dicho acceso.

Temporary grants

Los temporary grants son cĂłdigos temporales utilizados para ser intercambiados por un Access Token. A diferencia de los Access Token, sĂłlo pueden ser usados para llamadas con el servidor de autorizaciĂłn y nunca se envĂ­an a servidores de recursos. Los tipos de temporary grants son:

  • authorization_code: tiene una duraciĂłn de 10 minutos y su uso es Ășnico.
  • refresh_token: tiene una duraciĂłn de 6 meses y puede ser reutilizado.

Si deseas conocer cómo obtener el Access Token, accede a nuestra documentación. También puedes consultar la información necesaria para saber cómo renovarlo.

Flujos de acceso (grant types)

Los flujos, también llamados grant types, se refieren a la forma en que una aplicación obtiene un Access Token, credencial permite acceder a los datos expuestos a través de una API. En el caso de Mercado Pago, hay tres flujos de acceso disponibles:

  • Authorization code: flujo basado en redirecciĂłn y que debe ser usado si se van a usar credenciales para acceder a un recurso a nombre de un tercero. EstĂĄ caracterizado por la intervenciĂłn del usuario para autorizar explĂ­citamente el acceso a sus datos por medio de la aplicaciĂłn, y por el uso de un cĂłdigo proporcionado por el servidor de autenticaciĂłn para que esta aplicaciĂłn pueda obtener un Access Token y un refresh_token asociado. Puedes ver mĂĄs informaciĂłn dirigiĂ©ndote a Obtener Access Token.
  • Refresh token: en caso de que un Access Token generado a partir del flujo Authorization code sea invĂĄlido o haya expirado, este flujo se utilizarĂĄ para intercambiar una concesiĂłn temporal del tipo refresh_token por un Access Token. Es decir, permitirĂĄ que el Access Token se actualice sin una nueva interacciĂłn del usuario luego de haber concedido la autorizaciĂłn por el flujo Authorization code. Puedes ver mĂĄs informaciĂłn accediendo a Renovar Access Token.
  • Client credentials: se van a usar credenciales para acceder a un recurso en nombre propio, o sea, se utiliza para obtener un Access Token sin interacciĂłn del usuario. Es Ăștil para instancias en que las aplicaciones solicitan este Access Token usando solo sus propias credenciales para acceder a sus propios recursos, sin permitir actuar en nombre de un usuario ni acceder a sus datos. Puedes ver mĂĄs informaciĂłn en la documentaciĂłn Obtener Access Token.
PKCE (Proof Key for Code Exchange)
Si vas a utilizar el flujo Authorization code para obtener el Access Token, puedes configurar el PKCE (Proof Key for Code Exchange), un protocolo de seguridad utilizado con OAuth para proteger contra ataques de cĂłdigo malicioso durante el intercambio de cĂłdigos de autorizaciĂłn por Access Token. Añade una capa extra de seguridad generando un verifier que se transforma en un challenge para asegurar que, incluso si el cĂłdigo de autorizaciĂłn es interceptado, no sea Ăștil sin el verifier original. Consulta Configurar PKCE para obtener mĂĄs informaciĂłn.