Pular para o conteúdo principal

Autenticação e autorização

O processo de autenticação para as APIs segue o protocolo oAuth 2.0, via fluxo Authorization Code. Nesse fluxo, sua aplicação terá acesso às informações de usuários através da autorização dos mesmos. Caso você não possua as credenciais client_id e client_secret de uma aplicação cliente, será necessário criar sua aplicação (vide seção Como criar sua aplicação).

Vídeo de instruções para autenticação

Tabela de variáveis

CampoTipoDescriçãoObrigatório
CLIENT_IDstringID público da aplicação cliente no IdMagaluSim
CLIENT_SECRETstringSegredo da aplicação cliente no IdMagaluSim
REDIRECT_URIstringURL de redirecionamento do cliente, que receberá o código de autorização (AUTHORIZATION_CODE)Sim
SCOPESstringEscopos de consentimento. Exemplo: scope_1 scope_2 scope_3Sim
AUTHORIZATION_CODEstringCódigo de autorização (code) do usuário retornado na REDIRECT_URISim
ACCESS_TOKENstringToken JWT de acesso às APIs da plataformaSim
REFRESH_TOKENstringToken JWT do fluxo de refreshSim
TOKEN_TYPEstringTipo do token. Exemplo: BearerSim
EXPIRES_INintegerExpiração dos tokens JWTSim
CREATED_ATtimestampData de criação dos tokens JWTSim

Obtenção do token

Passo 1: identificação da loja

Redirecione o usuário para o IdMagalu a partir de uma URL com a seguinte estrutura:

https://id.magalu.com/login?client_id=<CLIENT_ID>&redirect_uri=<REDIRECT_URI>&scope=<SCOPES>&response_type=code&choose_tenants=true

Exemplo de chamada:

https://id.magalu.com/login?client_id=fSbG5kB3iv5x9sLioaweMSaw3Qhb5xlTC3JpxGFdpd0&redirect_uri=http://localhost:3000/redirect&scope=open:portfolio:read open:order-order:read&response_type=code&choose_tenants=true

A tela de login do IdMagalu aparecerá para o usuário, ele deverá logar com as credenciais da loja:

Imagem Login IdMagalu

Passo 2: O usuário concederá permissão para que a aplicação acesse suas informações

Se houver permissões para serem concedidas, a seguinte tela aparecerá para o usuário:

Imagem Permissões de Acesso
info

Caso as permissões já tenham sido concedidas em algum momento, esta tela não será exibida ao usuário.

Após realizar login e dar permissões, o usuário será redirecionado para a REDIRECT_URI, onde virá o código de autorização (code). Segue abaixo um exemplo de como localizar este código de autorização diretamente na barra de endereços do navegador:

Imagem Code

Passo 3: A partir do código de autorização concedido pelo usuário, crie um token de acesso às APIs da plataforma

Chamada:

curl --location --request POST 'https://id.magalu.com/oauth/token' \
--header 'Content-Type: application/json' \
--data-raw '{
"client_id": "<CLIENT_ID>",
"client_secret": "<CLIENT_SECRET>",
"redirect_uri": "<REDIRECT_URI>",
"code": "<AUTHORIZATION_CODE>",
"grant_type": "authorization_code"
}
'

Resposta:

{
"access_token": "<ACCESS_TOKEN>",
"token_type": "<TOKEN_TYPE>",
"expires_in": "<EXPIRES_IN>",
"refresh_token": "<REFRESH_TOKEN>",
"scope": "<SCOPES>",
"created_at": "<CREATED_AT>"
}

Renovação do token

Para realizar o processo de renovação do token (refresh_token), execute a seguinte chamada:

Chamada:

curl --location 'https://id.magalu.com/oauth/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=<REFRESH_TOKEN>' \
--data-urlencode 'client_id=<CLIENT_ID>' \
--data-urlencode 'client_secret=<CLIENT_ID>' \
--data-urlencode 'refresh_token=<REFRESH_TOKEN>'

Resposta:

{
"access_token": "<ACCESS_TOKEN>",
"token_type": "<TOKEN_TYPE>",
"expires_in": "<EXPIRES_IN>",
"refresh_token": "<REFRESH_TOKEN>",
"scope": "<SCOPES>",
"created_at": "<CREATED_AT>"
}