Autoriser les applications tierces à accéder aux comptes marchands

Ce guide explique comment utiliser OAuth 2.0 pour demander l'accès aux comptes marchands d'autres parties. Si vous êtes un fournisseur tiers, suivez cette procédure pour permettre à votre application de demander l'accès aux comptes marchands de vos clients.

Si vous développez une application en interne qui ne doit accéder qu'à votre compte marchand, consultez plutôt Accéder à votre compte.

Demander la validation d'une application

Les applications qui accèdent à l'API Merchant Center doivent suivre la procédure de validation OAuth. Les applications non validées reçoivent des avertissements et ont des fonctionnalités limitées.

Une application désigne tout élément doté d'un ID client OAuth 2.0 unique dans Google Cloud.

La procédure de validation prend généralement trois à cinq jours ouvrés. Pour en savoir plus et pour envoyer une demande de validation, consultez Validation des applications.

Ce règlement s'applique à toutes les applications. Nous vous recommandons de soumettre toutes les applications à la procédure de validation dès que possible pour éviter toute interruption de service.

Obtenir les niveaux d'accès OAuth

Configurez une autorisation incrémentielle pour éviter les problèmes de sélection des niveaux d'accès.

Par défaut, tous les niveaux d'accès OAuth sont désélectionnés sur l'écran de consentement de votre application si vous en demandez plusieurs. Lorsque votre application présente l'écran de consentement à un utilisateur, celui-ci doit sélectionner manuellement chaque niveau d'accès pour autoriser l'accès.

Examinez la réponse d'une requête OAuth pour vérifier que votre application a reçu les niveaux d'accès appropriés.

Pour en savoir plus, consultez la page Stratégies OAuth 2.0.

Autoriser les requêtes

Chaque requête envoyée par votre application à l'API Merchant Center doit inclure un jeton d'autorisation. Celui-ci permet également d'identifier votre application auprès de Google.

À propos des protocoles d'autorisation

Votre application doit autoriser les requêtes via le protocole OAuth 2.0. Les autres protocoles d'autorisation ne sont pas acceptés. Si votre application utilise la fonctionnalité Se connecter avec Google, certains aspects de l'autorisation sont traités pour vous.

Autoriser des requêtes avec OAuth 2.0

Toutes les requêtes adressées à l'API Merchant Center doivent être autorisées par un utilisateur authentifié.

Les détails de la procédure d'autorisation (ou "flux") concernant OAuth 2.0 varient légèrement selon le type d'application que vous développez. La procédure générale suivante s'applique à tous les types d'applications :

  1. Lorsque vous créez votre application, vous l'enregistrez dans la console d'API Google. Google fournit ensuite des informations dont vous aurez besoin ultérieurement, dont un ID client et un code secret du client.
  2. Activez Merchant API dans la console Google APIs. Si l'API ne figure pas dans la console, ignorez cette étape.
  3. Lorsque votre application doit accéder à des données utilisateur, elle demande à Google un champ d'application d'accès particulier.
  4. Google affiche alors un écran d'autorisation, dans lequel l'utilisateur est invité à autoriser votre application à demander certaines de ses données.
  5. Si l'utilisateur accepte, Google attribue à votre application un jeton d'accès temporaire.
  6. Votre application demande des données utilisateur en joignant le jeton d'accès à la requête.
  7. Dès lors que Google valide la requête et le jeton, les données demandées sont renvoyées.

Certains flux comportent d'autres étapes, comme l'utilisation de jetons d'actualisation afin d'obtenir de nouveaux jetons d'accès. Pour en savoir plus sur les flux concernant divers types d'applications, consultez la documentation OAuth 2.0 de Google.

Voici les informations sur le niveau d'accès d'OAuth 2.0 pour l'API Merchant Center:

Définition du champ d'application Signification
https://www.googleapis.com/auth/content Accès en lecture/écriture

Pour demander l'accès via OAuth 2.0, vous avez besoin du champ d'application ainsi que des informations fournies par Google lors de l'enregistrement de l'application (l'ID client et le code secret du client, par exemple).

Voici un exemple que vous pouvez utiliser pour l'autorisation.