Inicio
Documentação
Recursos
Parcerias
Comunidade

Documentação

Consulte as informaçÔes necessårias para integrar nossas soluçÔes.

Pagamentos onlinePagamentos presenciaisPlataformas de e-commerceTeste o funcionamento das soluçÔes
ReferĂȘncia APIBibliotecas SDK

Começando agora?

Visite a pĂĄgina de Primeiros passos para aprender a integrar.

Recursos

Confira as atualizaçÔes das nossas soluçÔes e do funcionamento do sistema ou peça suporte técnico.

ChangelogStatus Mercado Pago

Suporte

Com minha contaCom minha integração

Parcerias

Conheça nosso programa para agĂȘncias ou desenvolvedores que oferecem serviços de integração e vendedores que desejam contratĂĄ-los.

Sobre o programaPara agĂȘnciasPara desenvolvedoresPara plataformas
Contrate um parceiro para integrar seu site

Comunidade

Fique por dentro das Ășltimas novidades, peça ajuda a outros integradores e compartilhe seu conhecimento.

NotĂ­ciasNewsletterComunidade no DiscordCanal no Youtube
OAuth - Segurança - Mercado Pago Developers

Busca inteligente powered by OpenAI 

OAuth

OAuth is an authorization protocol that allows applications to have limited access to private information from Mercado Pago accounts. It uses the HTTP protocol and introduces a layer of authentication and authorization. Through this protocol, it is possible to request access to protected resources of sellers using an Access Token that is limited to a specific application, without needing the sellers' credentials via access flows.

Nota
A utilização do protocolo OAuth se difere do processo do compartilhamento de credenciais. OAuth não aborda questÔes relacionadas à autenticação do cliente, nem informaçÔes relacionadas a ele. Sua responsabilidade estå nos métodos de obtenção de um token para acessar um recurso.

Ao usar o OAuth, é importante considerar alguns aspectos para que a integração funcione corretamente. Acesse as Boas pråticas para a integração do OAuth e veja um guia para possíveis erros e boas pråticas para utilização do OAuth.

Access Token

É um cĂłdigo utilizado em diferentes requests pĂșblicos para acessar um recurso protegido. Ele representa uma autorização concedida por um vendedor a uma aplicação do cliente, contendo scopes e um tempo de validade limitado para o acesso.

Veja como obter e renovar o Access Token.

Temporary grants

Os temporary grants são códigos temporårios utilizados para serem trocados por um Access Token. Ao contrårio dos Access Token, eles só podem ser usados para chamadas com o servidor de autorização e nunca são enviados para servidores de recursos.

Como este é um fluxo baseado em redirecionamento, o cliente deve ser capaz de interagir com o agente do usuårio do proprietårio do recurso (normalmente um navegador web) e de receber solicitaçÔes de entrada (via redirecionamento) do servidor de autorização.

Tipos de temporary grants:

  • authorization_code: duração de 10 minutos e o seu uso Ă© Ășnico.
  • refresh_token: duração de 6 meses e podem ser reutilizados.

Fluxos de acesso (grant types)

Os fluxos, tambĂ©m conhecidos como grant types, sĂŁo diferentes maneiras de uma aplicação obter um Access Token para acessar os dados expostos por uma API. No Mercado Pago, existem trĂȘs fluxos de acesso disponĂ­veis:

  • Authorization code: fluxo baseado em redirecionamento e que deve ser usado quando se for usar as credenciais para acessar um recurso em nome de terceiros. Este fluxo Ă© caracterizado pela intervenção do usuĂĄrio para autorizar explicitamente o acesso aos seus dados pela aplicação e pelo uso de um cĂłdigo fornecido pelo servidor de autenticação para que a aplicação possa obter um Access Token e um refresh_token associado. Veja mais informaçÔes em Obter Access Token.
  • Refresh token: caso um Access Token gerado a partir do fluxo Authorization code esteja invĂĄlido ou expirado, este fluxo serĂĄ usado para trocar um concessĂŁo temporĂĄria do tipo refresh_token por um Access Token. Ou seja, isso permite que o Access Token seja atualizado sem a necessidade de interação do usuĂĄrio novamente apĂłs a autorização concedida pelo fluxo Authorization code. Veja mais informaçÔes em Renovar Access Token.
  • Client credentials: quando se for usar as credenciais para acessar um recurso em nome prĂłprio, ou seja, Ă© utilizado para obter um Access Token sem interação do usuĂĄrio. Este fluxo Ă© utilizado quando as aplicaçÔes solicitam um Access Token usando apenas as suas prĂłprias credenciais para acessar seus prĂłprios recursos, nĂŁo podendo agir em nome de um usuĂĄrio e acessar os seus dados. Veja mais informaçÔes em Obter Access Token.
PKCE (Proof Key for Code Exchange)
Caso vĂĄ utilizar o fluxo Authorization code para obter o Acess Token, vocĂȘ poderĂĄ configurar o PKCE (Proof Key for Code Exchange), um protocolo de segurança usado com OAuth para proteger contra ataques de cĂłdigo malicioso durante a troca de cĂłdigos de autorização por Access Token. Ele adiciona uma camada extra de segurança gerando um verifier que Ă© transformado em um challenge para garantir que mesmo se o cĂłdigo de autorização for interceptado, ele nĂŁo seja Ăștil sem o verifier original.Veja Configurar PKCE para mais informaçÔes.
Anterior
Mercado Pago Point
Point is the Mercado Pago card machine that allows buyers to pay in person.
PrĂłximo
Get Access Token
Learn how to use the flows (grant types) to obtain an Access Token and access the data exposed by an API.

Navegação

Suas integraçÔesDocumentaçãoReferĂȘncia APIBiblioteca SDK

Recursos e Comunidade

ChangelogStatus Mercado PagoRelatĂłrio de errosSuporteContato comercialNotĂ­ciasNewsletterPrograma de parcerias

Mercado Pago

Sua contaTermos de usoPolĂ­ticas de privacidade

PaĂ­s e idioma

Brasil
Argentina
Brasil
MĂ©xico
Uruguay
Colombia
Chile
PerĂș
PortuguĂȘs
Español
English
PortuguĂȘs
Copyright © 2024 Mercado Pago Instituição de Pagamento Ltda. CNPJ n.Âș 10.573.521/0001-91 / Av. das NaçÔes Unidas, nÂș 3.003, Bonfim, Osasco/SP - CEP 06233-903

Usamos cookies para melhorar sua experiĂȘncia no Mercado Pago. Consulte mais informaçÔes na nossa Central de privacidade.

Pronto! Suas preferĂȘncias foram salvas.
Ocorreu um erro. Por favor, tente novamente.