En esta guía, se explica cómo usar OAuth 2.0 para solicitar acceso a las cuentas de comerciante de terceros. Si eres un proveedor externo, usa este flujo de trabajo para permitir que tu app solicite acceso a las cuentas de comerciante de tus clientes.
Si desarrollas una app interna que solo necesita acceso a tu cuenta de comerciante, consulta Cómo acceder a tu cuenta.
Cómo solicitar la verificación de una app
Las apps que acceden a la API de Merchant deben pasar por el proceso de revisión de verificación de OAuth. Las apps no verificadas recibirán advertencias y tendrán funcionalidad limitada.
Una app es cualquier elemento con un ID de cliente de OAuth 2.0 único en Google Cloud.
El proceso de verificación suele tardar entre 3 y 5 días hábiles. Para obtener más información y enviar una solicitud de verificación, consulta verificación de apps.
Esta política se aplica a todas las apps. Recomendamos que todas las apps realicen el proceso de verificación lo antes posible para evitar interrupciones en las empresas.
Obtén permisos de OAuth
Configura la autorización incremental para evitar problemas con la selección del permiso.
Todos los permisos de OAuth están desmarcados de forma predeterminada en la pantalla de consentimiento de tu app si solicitas más de uno. Cuando tu app presenta la pantalla de consentimiento a un usuario, este debe seleccionar manualmente cada permiso para autorizar el acceso.
Para usar la API de Merchant, tu app debe solicitar el siguiente permiso en la pantalla de consentimiento de OAuth:
https://www.googleapis.com/auth/content
Verifica la respuesta de una solicitud de OAuth para confirmar que tu app recibió este permiso.
Consulta las políticas de OAuth 2.0 para obtener más detalles.
Autoriza solicitudes
Cada solicitud que envía tu aplicación a la API de Merchant debe incluir un token de autorización. El token también identifica tu aplicación ante Google.
Acerca de los protocolos de autorización
Tu aplicación debe usar OAuth 2.0 para autorizar solicitudes. No se admiten otros protocolos de autorización. Si tu aplicación usa Acceder con Google, tú controlarás algunos aspectos de la autorización.
Solicitudes de autorización con OAuth 2.0
Todas las solicitudes a la API de Merchant deben estar autorizadas por un usuario autenticado.
Los detalles del proceso de autorización, o "flujo", para OAuth 2.0 varían de alguna manera según el tipo de aplicación que estás escribiendo. El siguiente proceso general se aplica a todos los tipos de aplicación:
- Cuando crees tu aplicación, deberás registrarla con Google API Console. Luego, Google proporcionará la información que necesites más tarde, como el ID y un secreto del cliente.
- Activa la API de Merchant en la Consola de APIs de Google. Si no aparece en la consola de API, omite este paso.
- Cuando la aplicación necesite acceder a datos del usuario, solicita a Google un alcance de acceso en particular.
- Google mostrará una pantalla de consentimiento al usuario, en la que le pedirá que permita a la aplicación solicitar algunos de sus datos.
- Si el usuario la aprueba, Google le otorgará a la aplicación un token de acceso de corta duración.
- La aplicación solicitará los datos del usuario y adjuntará el token de acceso a la solicitud.
- Si Google determina que la solicitud y el token son válidos, mostrará los datos solicitados.
Algunos flujos requieren pasos adicionales, como el uso de tokens de actualización, para adquirir nuevos tokens de acceso. Si deseas obtener información detallada sobre los flujos para varios tipos de aplicaciones, consulta la documentación de OAuth 2.0 de Google.
Esta es la información del alcance de OAuth 2.0 para la API de Merchant:
| Alcance | Significado |
|---|---|
https://www.googleapis.com/auth/content |
Acceso de lectura/escritura |
Para solicitar acceso con OAuth 2.0, tu aplicación necesita los datos del alcance, además de la información que Google proporciona cuando registras la aplicación (como el ID y el secreto del cliente).
Este es un ejemplo que puedes usar para la autorización.