Pular para o conteúdo principal

Autenticação e autorização

O processo de autenticação para as APIs segue o protocolo oAuth 2.0, via fluxo Authorization Code. Nesse fluxo, sua aplicação terá acesso às informações de usuários através da autorização dos mesmos. Caso você não possua as credenciais client_id e client_secret de uma aplicação cliente, será necessário criar sua aplicação (vide seção Como criar sua aplicação).

Vídeo de instruções para autenticação

Obtenção do token

Passo 1: identificação da loja

CampoTipoDescriçãoObrigatório
client_idstringID público da aplicação cliente no IdMagaluSim
redirect_uristringURL de redirecionamento do cliente, que receberá o código de autorização (AUTHORIZATION_CODE)Sim
scopestringEscopos de consentimento. Exemplo: scope_1 scope_2 scope_3Sim
response_typestringValor padrão a ser enviado será sempre code.

response_type=code Código de autorização do usuário quer será retornado na REDIRECT_URI
Sim
choose_tenantsstringValor padrão a ser enviado será sempre true.

choose_tenants=true permite que seja selecionada a organização (loja) que está consentindo. Se for igual a false o consentimento é aplicado para o usuário que logou, que é uma pessoa física.
Sim
statestringUma string alfanumérica que seu aplicativo adiciona à solicitação inicial que o ID Magalu inclui ao redirecionar de volta para seu aplicativo. Pode ser utilizado para identificar qual seller realizou o consentimento.Não

Redirecione o usuário para o IdMagalu a partir de uma URL com a seguinte estrutura:

https://id.magalu.com/login?client_id=<CLIENT_ID>&redirect_uri=<REDIRECT_URI>&scope=<SCOPES>&response_type=code&choose_tenants=true

Exemplo de chamada:

https://id.magalu.com/login?client_id=fSbG5kB3iv5x9sLioaweMSaw3Qhb5xlTC3JpxGFdpd0&redirect_uri=http://localhost:3000/redirect&scope=open:portfolio:read open:order-order:read&response_type=code&choose_tenants=true

A tela de login do IdMagalu aparecerá para o usuário, ele deverá logar com as credenciais da loja:

Imagem Login IdMagalu

Passo 2: O usuário concederá permissão para que a aplicação acesse suas informações

Se houver permissões para serem concedidas, a seguinte tela aparecerá para o usuário:

Imagem Permissões de Acesso
info

Caso as permissões já tenham sido concedidas em algum momento, esta tela não será exibida ao usuário.

Após realizar login e dar permissões, o usuário será redirecionado para a REDIRECT_URI, onde virá o código de autorização (code). Segue abaixo um exemplo de como localizar este código de autorização diretamente na barra de endereços do navegador:

Imagem Code

Passo 3: A partir do código de autorização concedido pelo usuário, crie um token de acesso às APIs da plataforma

Chamada:

CampoTipoDescriçãoObrigatório
client_idstringID público da aplicação cliente no IdMagaluSim
client_secretstringSegredo da aplicação cliente no IdMagaluSim
redirect_uristringURL de redirecionamento do cliente, que receberá o código de autorização (AUTHORIZATION_CODE)Sim
codestringCódigo de autorização (code) do usuário retornado na REDIRECT_URISim
curl --location --request POST 'https://id.magalu.com/oauth/token' \
--header 'Content-Type: application/json' \
--data-raw '{
"client_id": "<CLIENT_ID>",
"client_secret": "<CLIENT_SECRET>",
"redirect_uri": "<REDIRECT_URI>",
"code": "<AUTHORIZATION_CODE>",
"grant_type": "authorization_code"
}
'

Resposta:

CampoTipoDescriçãoObrigatório
client_idstringID público da aplicação cliente no IdMagaluSim
redirect_uristringURL de redirecionamento do cliente, que receberá o código de autorização (AUTHORIZATION_CODE)Sim
codestringCódigo de autorização (code) do usuário retornado na REDIRECT_URISim
access_tokenstringToken JWT de acesso às APIs da plataformaSim
refresh_tokenstringToken JWT do fluxo de refreshSim
token_typestringTipo do token. Exemplo: BearerSim
expires_inintegerExpiração dos tokens JWTSim
created_attimestampData de criação dos tokens JWTSim
{
"access_token": "<ACCESS_TOKEN>",
"token_type": "<TOKEN_TYPE>",
"expires_in": "<EXPIRES_IN>",
"refresh_token": "<REFRESH_TOKEN>",
"scope": "<SCOPES>",
"created_at": "<CREATED_AT>"
}

Renovação do token

Para realizar o processo de renovação do token (refresh_token), execute a seguinte chamada:

Chamada:

curl --location 'https://id.magalu.com/oauth/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=<REFRESH_TOKEN>' \
--data-urlencode 'client_id=<CLIENT_ID>' \
--data-urlencode 'client_secret=<CLIENT_ID>' \
--data-urlencode 'refresh_token=<REFRESH_TOKEN>'

Resposta:

{
"access_token": "<ACCESS_TOKEN>",
"token_type": "<TOKEN_TYPE>",
"expires_in": "<EXPIRES_IN>",
"refresh_token": "<REFRESH_TOKEN>",
"scope": "<SCOPES>",
"created_at": "<CREATED_AT>"
}