Autenticação

A autenticação das APIs do Marketplace é realizada com a informação de um par de tokens no cabeçalho (header) das requisições. O seguinte par de tokens é esperado em cada requisição:

client_id: Identificação da APP. Sua geração ocorre no momento da criação da APP pelo painel do desenvolvedor. Seu valor pode ser visualizado na coluna Token da lista de APPs e, poderá ser utilizado tanto em Sandbox quanto em Produção, após a aplicação passar pelo processo de homologação.
access_token: Identificação do token de acesso, que armazena as regras de acesso permitidas à APP. Sua geração ocorre em dois momentos no processo de integração com as APIs.

Obtenção do Access Token para Sandbox

Assim que uma nova APP é criada no portal do desenvolvedor, um access_token é criado com as regras de acesso necessárias para acesso às APIs de Sandbox. Ele pode ser visualizado em “Detalhes da APP” na lista de APPs do portal do desenvolvedor

Obtenção do Access Token para Produção

Assim que sua APP passar pelo processo de homologação, você precisará de um novo access_token, com as regras de acesso necessárias para o ambiente de produção. Diferente do ambiente de Sandbox, a geração desse novo access_token não ocorre de forma automática.

A geração desse novo access_token ocorre de forma processual, seguindo um fluxo de autenticação OAuth2 Saiba mais sobre o fluxo OAuth2 para geração do access_token de Produção.

Protocolo de Transporte

Todas as informações trafegadas pelas APIs são realizadas através do protocolo HTTPS, que garante um canal é seguro e dispensa a criptografia dos tokens de forma manual. Saiba mais detalhes sobre a utilização do protocolo HTTPS.

Erros de Autenticação

Alguns erros serão tratados durante a autenticação dos Tokens. Abaixo a lista dos erros:

Ausência de um dos Tokens: Os dois Tokens devem ser passados em todas as requisições. Caso um deles esteja ausente, será retornado o erro 401 Unauthorized.
Token inexistente/errado:Se qualquer um dos Tokens passados não existir ou estiver com algum erro (caso tenha sido alterado), será retornado o erro 401 Unauthorized.
Tokens revogados (inválidos): Se qualquer um dos Tokens tiver sido revogado ele será considerado inválido e será retornado o erro 403 Forbidden.

Para os erros de ausência de um dos tokens e/ou token inexistente/errado, medidas podem ser tomadas do lado do desenvolvedor para validar se as informações que estão sendo passadas estão válidas. Para o erro de tokens revogados (inválidos) a única ação cabível será solicitar um novo token.

Português, Brasil