Inicio
Documentação
Recursos
Parcerias
Comunidade

Recursos

Confira as atualizaçÔes das nossas soluçÔes e do funcionamento do sistema ou peça suporte técnico.

Parcerias

Conheça nosso programa para agĂȘncias ou desenvolvedores que oferecem serviços de integração e vendedores que desejam contratĂĄ-los.

Comunidade

Fique por dentro das Ășltimas novidades, peça ajuda a outros integradores e compartilhe seu conhecimento.

Introdução - OAuth - Mercado Pago Developers

Busca inteligente powered by OpenAI 

OAuth

OAuth é um protocolo de autorização que permite que aplicativos tenham acesso limitado a informaçÔes privadas das contas do Mercado Pago. Ele utiliza o protocolo HTTP e introduz uma camada de autenticação e autorização. Através desse protocolo, é possível solicitar acesso a recursos protegidos dos vendedores utilizando um Access Token que é limitado a um aplicativo específico, sem a necessidade de usar as credenciais dos vendedores através dos fluxos de acesso.

Nota
A utilização do protocolo OAuth se difere do processo do compartilhamento de credenciais. OAuth não aborda questÔes relacionadas à autenticação do cliente, nem informaçÔes relacionadas a ele. Sua responsabilidade estå nos métodos de obtenção de um token para acessar um recurso.

Ao usar o OAuth, é importante considerar alguns aspectos para que a integração funcione corretamente. Acesse as Boas pråticas para a integração do OAuth e veja um guia para possíveis erros e boas pråticas para utilização do OAuth.

Access Token

É um cĂłdigo utilizado em diferentes requests pĂșblicos para acessar um recurso protegido. Ele representa uma autorização concedida por um vendedor a uma aplicação do cliente, contendo scopes e um tempo de validade limitado para o acesso.

Veja como obter e renovar o Access Token.

Temporary grants

Os temporary grants são códigos temporårios utilizados para serem trocados por um Access Token. Ao contrårio dos Access Token, eles só podem ser usados para chamadas com o servidor de autorização e nunca são enviados para servidores de recursos.

Como este é um fluxo baseado em redirecionamento, o cliente deve ser capaz de interagir com o agente do usuårio do proprietårio do recurso (normalmente um navegador web) e de receber solicitaçÔes de entrada (via redirecionamento) do servidor de autorização.

Tipos de temporary grants:

  • authorization_code: duração de 10 minutos e o seu uso Ă© Ășnico.
  • refresh_token: duração de 6 meses e podem ser reutilizados.

Fluxos de acesso (grant types)

Os fluxos, tambĂ©m conhecidos como grant types, sĂŁo diferentes maneiras de uma aplicação obter um Access Token para acessar os dados expostos por uma API. No Mercado Pago, existem trĂȘs fluxos de acesso disponĂ­veis:

  • Authorization code: fluxo baseado em redirecionamento e que deve ser usado quando se for usar as credenciais para acessar um recurso em nome de terceiros. Este fluxo Ă© caracterizado pela intervenção do usuĂĄrio para autorizar explicitamente o acesso aos seus dados pela aplicação e pelo uso de um cĂłdigo fornecido pelo servidor de autenticação para que a aplicação possa obter um Access Token e um refresh_token associado. Veja mais informaçÔes em Obter Access Token.
  • Refresh token: caso um Access Token gerado a partir do fluxo Authorization code esteja invĂĄlido ou expirado, este fluxo serĂĄ usado para trocar um concessĂŁo temporĂĄria do tipo refresh_token por um Access Token. Ou seja, isso permite que o Access Token seja atualizado sem a necessidade de interação do usuĂĄrio novamente apĂłs a autorização concedida pelo fluxo Authorization code. Veja mais informaçÔes em Renovar Access Token.
  • Client credentials: quando se for usar as credenciais para acessar um recurso em nome prĂłprio, ou seja, Ă© utilizado para obter um Access Token sem interação do usuĂĄrio. Este fluxo Ă© utilizado quando as aplicaçÔes solicitam um Access Token usando apenas as suas prĂłprias credenciais para acessar seus prĂłprios recursos, nĂŁo podendo agir em nome de um usuĂĄrio e acessar os seus dados. Veja mais informaçÔes em Obter Access Token.
PKCE (Proof Key for Code Exchange)
Caso vĂĄ utilizar o fluxo Authorization code para obter o Acess Token, vocĂȘ poderĂĄ configurar o PKCE (Proof Key for Code Exchange), um protocolo de segurança usado com OAuth para proteger contra ataques de cĂłdigo malicioso durante a troca de cĂłdigos de autorização por Access Token. Ele adiciona uma camada extra de segurança gerando um verifier que Ă© transformado em um challenge para garantir que mesmo se o cĂłdigo de autorização for interceptado, ele nĂŁo seja Ăștil sem o verifier original.Veja Configurar PKCE para mais informaçÔes.