Autenticação
A autenticação das APIs do Marketplace é realizada com a informação de um par de tokens no cabeçalho (header) das requisições. O seguinte par de tokens é esperado em cada requisição:
Obtenção do Access Token para Sandbox
Assim que uma nova APP é criada no portal do desenvolvedor, um access_token é criado com as regras de acesso necessárias para acesso às APIs de Sandbox. Ele pode ser visualizado em “Detalhes da APP” na lista de APPs do portal do desenvolvedor
Obtenção do Access Token para Produção
Assim que sua APP passar pelo processo de homologação, você precisará de um novo access_token, com as regras de acesso necessárias para o ambiente de produção. Diferente do ambiente de Sandbox, a geração desse novo access_token não ocorre de forma automática.
Protocolo de Transporte
Todas as informações trafegadas pelas APIs são realizadas através do protocolo HTTPS, que garante um canal é seguro e dispensa a criptografia dos tokens de forma manual. Saiba mais detalhes sobre a utilização do protocolo HTTPS.
Erros de Autenticação
Alguns erros serão tratados durante a autenticação dos Tokens. Abaixo a lista dos erros:
Ausência de um dos Tokens: Os dois Tokens devem ser passados em todas as requisições. Caso um deles esteja ausente, será retornado o erro 401 Unauthorized.
Token inexistente/errado:Se qualquer um dos Tokens passados não existir ou estiver com algum erro (caso tenha sido alterado), será retornado o erro 401 Unauthorized.
Tokens revogados (inválidos): Se qualquer um dos Tokens tiver sido revogado ele será considerado inválido e será retornado o erro 403 Forbidden.
Para os erros de ausência de um dos tokens e/ou token inexistente/errado, medidas podem ser tomadas do lado do desenvolvedor para validar se as informações que estão sendo passadas estão válidas. Para o erro de tokens revogados (inválidos) a única ação cabível será solicitar um novo token.