Inicio
Documentação
Recursos
Parcerias
Comunidade

Recursos

Confira as atualizaçÔes das nossas soluçÔes e do funcionamento do sistema ou peça suporte técnico.

Parcerias

Conheça nosso programa para agĂȘncias ou desenvolvedores que oferecem serviços de integração e vendedores que desejam contratĂĄ-los.

Comunidade

Fique por dentro das Ășltimas novidades, peça ajuda a outros integradores e compartilhe seu conhecimento.

Criar e atualizar token - OAuth - Mercado Pago Developers

Busca inteligente powered by OpenAI 

Criar e atualizar token

POST

https://api.mercadopago.com/oauth/token
Para criar ou atualizar o Access Token necessårio para operar sua aplicação.
Parùmetros de requisição
BODY
client_secret
string

OBRIGATÓRIO

Chave privada para ser utilizada em alguns plugins para gerar pagamentos. Uma das chaves do par que compÔe as credenciais que identifica uma aplicação/integração na sua conta.
client_id
string

OBRIGATÓRIO

ID Ășnico que identifica sua aplicação/integração. Uma das chaves do par que compĂ”e as credenciais que identifica uma aplicação/integração na sua conta.
grant_type
string

OBRIGATÓRIO

Especifica o tipo de operação a ser executada para obter seu Access Token. No Mercado Pago existem trĂȘs fluxos de acesso disponĂ­veis:
authorization_code: Fluxo baseado em redirecionamento, sendo caracterizado pela intervenção do usuårio para autorizar explicitamente o acesso aos seus dados pela aplicação e pelo uso de um código fornecido pelo servidor de autenticação para que a aplicação possa obter um Access Token e um `refresh_token` associado.
refresh_token: Caso um Access Token gerado a partir do fluxo `authorization_code` esteja invalido ou expirado, este fluxo serå usado para trocar um concessão temporåria do tipo `refresh_token` por um Access Token. Ou seja, isso permite que o Access Token seja atualizado sem a necessidade de interação do usuårio novamente após a autorização concedida pelo fluxo `authorization_code`.
client_credentials: É utilizado para obter um Access Token sem interação do usuĂĄrio. Este fluxo Ă© utilizado quando as aplicaçÔes solicitam um Access Token usando apenas as suas prĂłprias credenciais para acessar seus prĂłprios recursos, nĂŁo podendo agir em nome de um usuĂĄrio e acessar os seus dados.
code
string
Código concedido pelo servidor de autenticação para que a aplicação possa obter um Access Token e um 'refresh_token' associado. Tem validade de 10 minutos contados a partir da sua geração. Requerido quando grant_type=aut...Ver mais
ParĂąmetros de resposta
access_token
string
CĂłdigo de segurança que identifica o usuĂĄrio, seus privilĂ©gios e uma aplicação utilizado nas diferentes requests de origem pĂșblica para ter acesso a recursos protegidos. Tem sua validade determinada pelo parĂąmetro expires_in e sĂŁo semelhantes a APP_USR-1585551492-030918-25######3458-2880736 sendo compostos por:
Access Token type: APP_USR (application on behalf of a user), TEST (test, only valid in sandbox)
Client ID: 1585551492
Creation date (MMddHH): 030918
Ver mais
token_type
string
informaçÔes necessĂĄrias para que o token seja usado corretamente para acessar recursos protegidos. O token do tipo "bearer" Ă© o Ășnico suportado pelo servidor de autorização e Ă© usado quando o Access Token Ă© incluĂ­do como...Ver mais
expires_in
number
Tempo fixo de expiração do access_token expresso em segundos. Por padrão o tempo de expiração é 180 dias (15552000 segundos).
scope
string
Scopes são utilizados no processo de autorização e consentimento das APIs e permitem determinar ao que o acesso estå sendo solicitado por parte da aplicação e ao que se estå concedendo acesso por parte do usuårio. Por pa...Ver mais
Erros

400Erro

invalid_client

O client_id e/ou client_secret fornecidos de sua aplicação são invålidos.

invalid_grant

Existem vårias razÔes para este erro, pode ser porque o authorization_code ou refresh_token são invålidos, expiraram, foram revogados, foram enviados de forma incorreta ou pertencem a outro cliente. Também é possível que o redirect_uri usado no fluxo de autorização não corresponde ao que sua aplicação tem configurado.

invalid_scope

O escopo solicitado Ă© invĂĄlido, desconhecido ou mal formado. Os valores permitidos para o parĂąmetro de escopo sĂŁo “offline_access”, ”write” ou ”read”.

invalid_request

A requisição não inclui um parùmetro obrigatório, inclui um parùmetro ou valor de parùmetro não suportado, tem um valor duplicado ou estå mal formada.

unsupported_grant_type

Os valores permitidos para grant_type são “authorization_code” ou “refresh_token”.

forbidden

A chamada nĂŁo autoriza o acesso, possivelmente estĂĄ sendo usado o token de outro usuĂĄrio.

unauthorized_client

A aplicação não possui um grant com o usuårio ou as permissÔes (escopos) que o aplicativo tem com este usuårio não permitem criar um token.

429Erro

local_rate_limited

A chamada nĂŁo autoriza o acesso, por favor, tente novamente.

Requisição
curl -X POST \
    'https://api.mercadopago.com/oauth/token'\
    -H 'Content-Type: application/json' \
    -d '{
  "client_secret": "client_secret",
  "client_id": "client_id",
  "grant_type": "client_credentials",
  "code": "TG-XXXXXXXX-241983636",
  "code_verifier": "47DEQpj8HBSa-_TImW-5JCeuQeRkm5NMpJWZG3hSuFU",
  "redirect_uri": "https://www.redirect-url.com?code=CODE&state=RANDOM_ID",
  "refresh_token": "TG-XXXXXXXX-241983636",
  "test_token": "false"
}'
Resposta de exemplo
{
  "access_token": "APP_USR-4934588586838432-XXXXXXXX-241983636",
  "token_type": "bearer",
  "expires_in": 15552000,
  "scope": "read write offline_access",
  "user_id": 241983636,
  "refresh_token": "TG-XXXXXXXX-241983636",
  "public_key": "APP_USR-d0a26210-XXXXXXXX-479f0400869e",
  "live_mode": true
}