OAuth
OAuth es un protocolo de autorización que permite que las aplicaciones tengan acceso limitado a la información privada de las cuentas de Mercado Pago. A través del protocolo HTTP, introduce una capa de autenticación y autorización, que consiste en solicitar acceso a los recursos protegidos de los vendedores mediante un Access token limitado a una aplicación en particular. Esto se logra sin necesidad de obtener las credenciales de los vendedores a través de los flujos de acceso.
A la hora de utilizar OAuth, es importante tener en cuenta ciertos aspectos para que la integraciĂłn funcione correctamente. Accede a las Buenas prĂĄcticas de integraciĂłn de OAuth y consulta una guĂa de posibles errores y de buenas prĂĄcticas a tener en cuenta.
Access Token
Ăs un cĂłdigo utilizado en diferentes requests de origen pĂșblico para acceder a un recurso protegido y representa una autorizaciĂłn otorgada por un vendedor a una aplicaciĂłn cliente, que contiene scopes y un tiempo de vigencia limitado para dicho acceso.
Temporary grants
Los temporary grants son cĂłdigos temporales utilizados para ser intercambiados por un Access Token. A diferencia de los Access Token, sĂłlo pueden ser usados para llamadas con el servidor de autorizaciĂłn y nunca se envĂan a servidores de recursos. Los tipos de temporary grants son:
authorization_code: tiene una duraciĂłn de 10 minutos y su uso es Ășnico.refresh_token: tiene una duraciĂłn de 6 meses y puede ser reutilizado.
Si deseas conocer cómo obtener el Access Token, accede a nuestra documentación. También puedes consultar la información necesaria para saber cómo renovarlo.
Flujos de acceso (grant types)
Los flujos, también llamados grant types, se refieren a la forma en que una aplicación obtiene un Access Token, credencial permite acceder a los datos expuestos a través de una API. En el caso de Mercado Pago, hay tres flujos de acceso disponibles:
- Authorization code: flujo basado en redirecciĂłn y que debe ser usado si se van a usar credenciales para acceder a un recurso a nombre de un tercero. EstĂĄ caracterizado por la intervenciĂłn del usuario para autorizar explĂcitamente el acceso a sus datos por medio de la aplicaciĂłn, y por el uso de un cĂłdigo proporcionado por el servidor de autenticaciĂłn para que esta aplicaciĂłn pueda obtener un Access Token y un
refresh_tokenasociado. Puedes ver mås información dirigiéndote a Obtener Access Token. - Refresh token: en caso de que un Access Token generado a partir del flujo Authorization code sea invålido o haya expirado, este flujo se utilizarå para intercambiar una concesión temporal del tipo
refresh_tokenpor un Access Token. Es decir, permitirĂĄ que el Access Token se actualice sin una nueva interacciĂłn del usuario luego de haber concedido la autorizaciĂłn por el flujo Authorization code. Puedes ver mĂĄs informaciĂłn accediendo a Renovar Access Token. - Client credentials: se van a usar credenciales para acceder a un recurso en nombre propio, o sea, se utiliza para obtener un Access Token sin interacciĂłn del usuario. Es Ăștil para instancias en que las aplicaciones solicitan este Access Token usando solo sus propias credenciales para acceder a sus propios recursos, sin permitir actuar en nombre de un usuario ni acceder a sus datos. Puedes ver mĂĄs informaciĂłn en la documentaciĂłn Obtener Access Token.