Ce guide explique comment utiliser OAuth 2.0 pour demander l'accès aux comptes marchands d'autres parties. Si vous êtes un fournisseur tiers, utilisez ce workflow pour autoriser votre application à demander l'accès aux comptes marchands de vos clients.
Si vous développez une application en interne qui ne doit accéder qu'à votre compte marchand, consultez plutôt Accéder à votre compte.
Demander la validation d'une application
Les applications qui accèdent à Merchant API doivent suivre la procédure de validation OAuth. Les applications non validées recevront des avertissements et auront des fonctionnalités limitées.
Une application est tout élément disposant d'un ID client OAuth 2.0 unique dans Google Cloud.
La procédure de validation prend généralement trois à cinq jours ouvrés. Pour en savoir plus et demander une validation, consultez la section Validation des applications.
Ce règlement s'applique à toutes les applications. Nous vous recommandons de soumettre toutes les applications à la procédure de validation dans les plus brefs délais afin d'éviter toute interruption de service.
Récupérer les champs d'application OAuth
Configurez l'autorisation incrémentielle pour éviter les problèmes de sélection des niveaux d'accès.
Tous les niveaux d'accès OAuth sont désélectionnés par défaut dans l'écran de consentement de votre application si vous en demandez plusieurs. Lorsque votre application présente l'écran de consentement à un utilisateur, celui-ci doit sélectionner manuellement chaque niveau pour autoriser l'accès.
Pour utiliser l'API Merchant, votre application doit demander le champ d'application suivant sur l'écran de consentement OAuth:
https://www.googleapis.com/auth/content
Vérifiez la réponse d'une requête OAuth pour vérifier que votre application a reçu ce niveau d'accès.
Pour en savoir plus, consultez les Règles OAuth 2.0.
Autoriser les requêtes
Chaque requête envoyée par votre application à l'API Merchant doit inclure un jeton d'autorisation. Celui-ci permet également d'identifier votre application auprès de Google.
À propos des protocoles d'autorisation
Votre application doit autoriser les requêtes via le protocole OAuth 2.0. Les autres protocoles d'autorisation ne sont pas acceptés. Si votre application utilise la fonctionnalité Se connecter avec Google, certains aspects de l'autorisation sont traités pour vous.
Autoriser des requêtes avec OAuth 2.0
Toutes les requêtes adressées à l'API Merchant doivent être autorisées par un utilisateur authentifié.
Les détails de la procédure d'autorisation (ou "flux") concernant OAuth 2.0 varient légèrement selon le type d'application que vous développez. La procédure générale suivante s'applique à tous les types d'applications :
- Lorsque vous créez votre application, vous l'enregistrez dans la console d'API Google. Google fournit ensuite des informations dont vous aurez besoin ultérieurement, dont un ID client et un code secret du client.
- Activez l'API Merchant dans la console des API Google. Si l'API ne figure pas dans la console, ignorez cette étape.
- Lorsque votre application doit accéder à des données utilisateur, elle demande à Google un champ d'application d'accès particulier.
- Google affiche alors un écran d'autorisation, dans lequel l'utilisateur est invité à autoriser votre application à demander certaines de ses données.
- Si l'utilisateur accepte, Google attribue à votre application un jeton d'accès temporaire.
- Votre application demande des données utilisateur en joignant le jeton d'accès à la requête.
- Dès lors que Google valide la requête et le jeton, les données demandées sont renvoyées.
Certains flux comportent des étapes supplémentaires, comme l'utilisation de jetons d'actualisation en vue de l'acquisition de nouveaux jetons d'accès. Pour en savoir plus sur les flux concernant divers types d'applications, consultez la documentation OAuth 2.0 de Google.
Voici les informations sur le champ d'application OAuth 2.0 pour l'API Merchant:
| Portée | Signification |
|---|---|
https://www.googleapis.com/auth/content |
Accès en lecture/écriture |
Pour demander l'accès via OAuth 2.0, vous avez besoin du champ d'application ainsi que des informations fournies par Google lors de l'enregistrement de l'application (l'ID client et le code secret du client, par exemple).
Voici un exemple d'autorisation que vous pouvez utiliser.