Questa guida spiega come utilizzare OAuth 2.0 per richiedere l'accesso agli account commerciante di altre parti. Se sei un fornitore di terze parti, utilizza questo flusso di lavoro per consentire alla tua app di richiedere l'accesso agli account commerciante dei tuoi clienti.
Se stai sviluppando un'app interna che ha bisogno di accedere solo al tuo account commerciante, consulta l'articolo Accedere al tuo account.
Richiedere la verifica dell'app
Le app che accedono all'API Merchant devono essere sottoposte alla procedura di revisione della verifica OAuth. Le app non verificate riceveranno avvisi e avranno funzionalità limitate.
Un'app è qualsiasi elemento con un ID client OAuth 2.0 univoco in Google Cloud.
La procedura di verifica richiede in genere 3-5 giorni lavorativi. Per scoprire di più e inviare una richiesta di verifica, consulta la sezione Verifica per le app.
Queste norme si applicano a tutte le app. Ti consigliamo di sottoporre tutte le app alla procedura di verifica il prima possibile per evitare interruzioni dell'attività.
Ottenere gli ambiti OAuth
Configura l'autorizzazione incrementale per evitare problemi con la selezione dell'ambito.
Tutti gli ambiti OAuth non sono selezionati per impostazione predefinita nella schermata del consenso per la tua app se ne richiedi più di uno. Quando la tua app mostra la schermata del consenso a un utente, quest'ultimo deve selezionare manualmente ogni ambito per autorizzare l'accesso.
Per utilizzare l'API Merchant, la tua app deve richiedere il seguente ambito nella schermata per il consenso OAuth:
https://www.googleapis.com/auth/content
Controlla la risposta di una richiesta OAuth per verificare che la tua app abbia ricevuto questo ambito.
Per ulteriori dettagli, consulta le norme di OAuth 2.0.
Autorizza richieste
Ogni richiesta che la tua applicazione invia all'API Merchant deve includere un token di autorizzazione. Il token, inoltre, identifica l'applicazione per Google.
Informazioni sui protocolli di autorizzazione
La tua applicazione deve utilizzare il protocollo OAuth 2.0 per autorizzare le richieste. Non sono supportati altri protocolli di autorizzazione. Se la tua applicazione utilizza la funzionalità Accedi con Google, alcuni aspetti dell'autorizzazione vengono gestiti per te.
Autorizzazione delle richieste con OAuth 2.0
Tutte le richieste all'API Merchant devono essere autorizzate da un utente autenticato.
I dettagli della procedura di autorizzazione, o "flusso", per il protocollo OAuth 2.0 variano a seconda del tipo di applicazione che stai scrivendo. La seguente procedura generale si applica a tutti i tipi di applicazione:
- Quando crei la tua applicazione, la registri utilizzando la console API di Google. Quindi, Google fornisce informazioni che ti saranno necessarie in un secondo momento, ad esempio un ID client e un client secret.
- Attiva l'API Merchant nella console API di Google. (Se l'API non è elencata nella console API, salta questo passaggio.)
- Quando la tua applicazione vuole accedere ai dati dell'utente, chiede a Google un particolare ambito di accesso.
- Google mostra una schermata di consenso all'utente, chiedendo di autorizzare l'applicazione a richiedere dei dati.
- Se l'utente approva, Google fornisce alla tua applicazione un token di accesso di breve durata.
- L'applicazione richiede i dati utente, allegando il token di accesso alla richiesta.
- Se Google ritiene validi la richiesta e il token, restituisce i dati richiesti.
Alcuni flussi includono passaggi aggiuntivi, come l'uso di token di aggiornamento per acquisire nuovi token di accesso. Per informazioni dettagliate sui flussi per vari tipi di applicazioni, consulta la documentazione relativa al protocollo OAuth 2.0 di Google.
Ecco le informazioni relative all'ambito del protocollo OAuth 2.0 per l'API Merchant:
| Ambito | Significato |
|---|---|
https://www.googleapis.com/auth/content |
Accesso di lettura/scrittura. |
Per richiedere l'accesso utilizzando il protocollo OAuth 2.0, l'applicazione richiede le informazioni relative all'ambito e le informazioni che Google fornisce quando registri la tua applicazione (ad esempio l'ID client e il client secret).
Ecco un esempio che puoi utilizzare per l'autorizzazione.