Inicio
DocumentaciĆ³n
Recursos
Certificaciones
Comunidad

DocumentaciĆ³n

Consulta las informaciones necesarias para integrar nuestras soluciones de cobro.

Pagos onlinePlataformas de e-commercePrueba cĆ³mo funcionan las soluciones
Referencia APIBibliotecas SDK

ĀæComenzando ahora?

Accede a la pĆ”gina de primeros pasos para aprender cĆ³mo integrar.

Recursos

Revisa las actualizaciones de nuestras soluciones y operatividad del sistema o pide soporte tƩcnico.

ChangelogEstado Mercado Pago

Soporte

Con mi cuentaCon mi integraciĆ³n

Comunidad

Recibe las Ćŗltimas novedades, pide ayuda a otros integradores y comparte tus conocimientos.

NoticiasNewsletterComunidad en DiscordCanal de Youtube
OAuth - Seguridad - Mercado Pago Developers

BĆŗsqueda inteligente powered by OpenAIĀ 

OAuth

OAuth es un protocolo de autorizaciĆ³n que permite que las aplicaciones tengan acceso limitado a la informaciĆ³n privada de las cuentas de Mercado Pago. A travĆ©s del protocolo HTTP, introduce una capa de autenticaciĆ³n y autorizaciĆ³n, que consiste en solicitar acceso a los recursos protegidos de los vendedores mediante un Access token limitado a una aplicaciĆ³n en particular. Esto se logra sin necesidad de obtener las credenciales de los vendedores a travĆ©s de los flujos de acceso.

Nota
El uso del protocolo OAuth difiere del proceso de uso compartido de credenciales. OAuth no aborda cuestiones relacionadas con la autenticaciĆ³n del cliente, ni informaciĆ³n relacionada con la misma. Su responsabilidad radica en los mĆ©todos de obtenciĆ³n de un token para acceder a un recurso.

A la hora de utilizar OAuth, es importante tener en cuenta ciertos aspectos para que la integraciĆ³n funcione correctamente. Accede a las Buenas prĆ”cticas de integraciĆ³n de OAuth y consulta una guĆ­a de posibles errores y de buenas prĆ”cticas a tener en cuenta.

Access Token

Ɖs un cĆ³digo utilizado en diferentes requests de origen pĆŗblico para acceder a un recurso protegido y representa una autorizaciĆ³n otorgada por un vendedor a una aplicaciĆ³n cliente, que contiene scopes y un tiempo de vigencia limitado para dicho acceso.

Temporary grants

Los temporary grants son cĆ³digos temporales utilizados para ser intercambiados por un Access Token. A diferencia de los Access Token, sĆ³lo pueden ser usados para llamadas con el servidor de autorizaciĆ³n y nunca se envĆ­an a servidores de recursos. Los tipos de temporary grants son:

  • authorization_code: tiene una duraciĆ³n de 10 minutos y su uso es Ćŗnico.
  • refresh_token: tiene una duraciĆ³n de 6 meses y puede ser reutilizado.

Si deseas conocer cĆ³mo obtener el Access Token, accede a nuestra documentaciĆ³n. TambiĆ©n puedes consultar la informaciĆ³n necesaria para saber cĆ³mo renovarlo.

Flujos de acceso (grant types)

Los flujos, tambiĆ©n llamados grant types, se refieren a la forma en que una aplicaciĆ³n obtiene un Access Token, credencial permite acceder a los datos expuestos a travĆ©s de una API. En el caso de Mercado Pago, hay tres flujos de acceso disponibles:

  • Authorization code: flujo basado en redirecciĆ³n y que debe ser usado si se van a usar credenciales para acceder a un recurso a nombre de un tercero. EstĆ” caracterizado por la intervenciĆ³n del usuario para autorizar explĆ­citamente el acceso a sus datos por medio de la aplicaciĆ³n, y por el uso de un cĆ³digo proporcionado por el servidor de autenticaciĆ³n para que esta aplicaciĆ³n pueda obtener un Access Token y un refresh_token asociado. Puedes ver mĆ”s informaciĆ³n dirigiĆ©ndote a Obtener Access Token.
  • Refresh token: en caso de que un Access Token generado a partir del flujo Authorization code sea invĆ”lido o haya expirado, este flujo se utilizarĆ” para intercambiar una concesiĆ³n temporal del tipo refresh_token por un Access Token. Es decir, permitirĆ” que el Access Token se actualice sin una nueva interacciĆ³n del usuario luego de haber concedido la autorizaciĆ³n por el flujo Authorization code. Puedes ver mĆ”s informaciĆ³n accediendo a Renovar Access Token.
  • Client credentials: se van a usar credenciales para acceder a un recurso en nombre propio, o sea, se utiliza para obtener un Access Token sin interacciĆ³n del usuario. Es Ćŗtil para instancias en que las aplicaciones solicitan este Access Token usando solo sus propias credenciales para acceder a sus propios recursos, sin permitir actuar en nombre de un usuario ni acceder a sus datos. Puedes ver mĆ”s informaciĆ³n en la documentaciĆ³n Obtener Access Token.
PKCE (Proof Key for Code Exchange)
Si vas a utilizar el flujo Authorization code para obtener el Access Token, puedes configurar el PKCE (Proof Key for Code Exchange), un protocolo de seguridad utilizado con OAuth para proteger contra ataques de cĆ³digo malicioso durante el intercambio de cĆ³digos de autorizaciĆ³n por Access Token. AƱade una capa extra de seguridad generando un verifier que se transforma en un challenge para asegurar que, incluso si el cĆ³digo de autorizaciĆ³n es interceptado, no sea Ćŗtil sin el verifier original. Consulta Configurar PKCE para obtener mĆ”s informaciĆ³n.
Anterior
Refunds and cancellations
Learn the difference and how to proceed to make refunds and/or cancellations for a particular charge.
PrĆ³ximo
Get Access Token
Learn how to use the flows (grant types) to obtain an Access Token and access the data exposed by an API.

NavegaciĆ³n

Tus integracionesDocumentaciĆ³nReferencia API Biblioteca SDK

Recursos y Comunidad

ChangelogEstado Mercado PagoReporte de erroresSoporteNoticiasNewsletterPartners Program

Mercado Pago

Tu cuentaTĆ©rminos de usoPolĆ­ticas de privacidad

PaĆ­s e idioma

PerĆŗ
Argentina
Brasil
MĆ©xico
Uruguay
Colombia
Chile
PerĆŗ
EspaƱol
EspaƱol
English
PortuguĆŖs
Copyright Ā© 1999-2024 MercadoLibre PerĆŗ S.R.L.

Usamos cookies para mejorar tu experiencia en Mercado Pago. Consultar mƔs en nuestro Centro de Privacidad.

Ā”Listo! Guardamos tus preferencias.
Algo saliĆ³ mal. Por favor, vuelve a intentarlo.