Inicio
DocumentaciĂłn
Recursos
Partners
Comunidad

Partners

Conoce nuestro programa para agencias o desarrolladores que ofrecen servicios de integraciĂłn y vendedores que quieren contratarlos.

Comunidad

Recibe las Ășltimas novedades, pide ayuda a otros integradores y comparte tus conocimientos.

Crear y refrescar token - OAuth - Mercado Pago Developers

BĂșsqueda inteligente powered by OpenAI 

Crear y refrescar token

POST

https://api.mercadopago.com/oauth/token
Este endpoint se utiliza para crear o actualizar el Access Token necesario para operar tu aplicaciĂłn.
ParĂĄmetros para la solicitud
BODY
client_secret
string

REQUERIDO

Clave privada para ser utilizada en algunos complementos para generar pagos. Una de las claves del par que componen las credenciales que identifican una aplicaciĂłn/integraciĂłn en tu cuenta.
client_id
string

REQUERIDO

ID Ășnico que identifica tu aplicaciĂłn/integraciĂłn. Una de las claves del par que componen las credenciales que identifican una aplicaciĂłn/integraciĂłn en tu cuenta.
grant_type
string

REQUERIDO

Especifica el tipo de operaciĂłn a realizar para obtener tu Access Token. En el caso de Mercado Pago, hay tres flujos de acceso disponibles:
authorization_code: Flujo basado en redirecciĂłn, caracterizado por la intervenciĂłn del usuario para autorizar explĂ­citamente el acceso a sus datos por la aplicaciĂłn, y por el uso de un cĂłdigo proporcionado por el servidor de autenticaciĂłn para que la aplicaciĂłn pueda obtener un Access Token y un 'refresh_token' asociado.
refresh_token: En caso de que un Access Token generado a partir del flujo 'authorization_code' sea invålido o haya expirado, este flujo se utilizarå para intercambiar una concesión temporal del tipo 'refresh_token' por un Access Token. Es decir, permitirå que el Access Token se actualice sin necesidad de una nueva interacción del usuario después de la autorización concedida inicialmente por el flujo 'authorization_code'.
client_credentials: Se utiliza para obtener un Access Token sin interacciĂłn del usuario, cuando las aplicaciones solicitan un Access Token usando solo sus propias credenciales para acceder a sus propios recursos, no pudiendo actuar en nombre de un usuario ni acceder a sus datos.
code
string
CĂłdigo otorgado por el servidor de autenticaciĂłn para que la aplicaciĂłn pueda obtener un Access Token y un 'refresh_token' asociado. Tiene una validez de 10 minutos contados desde su generaciĂłn. Obligatorio cuando grant_...Ver mĂĄs
ParĂĄmetros de respuesta
access_token
string
CĂłdigo de seguridad que identifica al usuario, sus privilegios y una aplicaciĂłn utilizada en diferentes solicitudes de origen pĂșblico para acceder a los recursos protegidos. Su validez estĂĄ determinada por el parĂĄmetro expires_in y es similar a APP_USR-1585551492-030918-25######3458-2880736 estando compuesto por:
Access Token type: APP_USR (application on behalf of a user), TEST (test, only valid in sandbox)
Client ID: 1585551492
Creation date (MMddHH): 030918
Ver mĂĄs
token_type
string
InformaciĂłn necesaria para que el token se utilice correctamente para acceder a los recursos protegidos. El token de tipo "bearer" es el Ășnico admitido por el servidor de autorizaciĂłn y se utiliza cuando el Access Token ...Ver mĂĄs
expires_in
number
Tiempo de caducidad de access_token fijo expresado en segundos. De forma predeterminada, el tiempo de caducidad es de 180 dĂ­as (15552000 segundos).
scope
string
Los scopes se utilizan en el proceso de autorización y consentimiento de la API y permiten determinar qué acceso solicita la aplicación y qué acceso otorga el usuario. De forma predeterminada, los åmbitos asociados con e...Ver mås
Errores

400Error

invalid_client

El client_id y/o client_secret proporcionados de tu aplicaciĂłn son invĂĄlidos.

invalid_grant

Hay varias razones para este error, podría ser porque el authorization_code o refresh_token son invålidos, han expirado, han sido revocados, se enviaron de forma incorrecta o pertenecen a otro cliente. También es posible que el redirect_uri utilizado en el flujo de autorización no coincida con lo que tu aplicación tiene configurado.

invalid_scope

El scope solicitado es inválido, desconocido o mal formado. Los valores permitidos para el parámetro de alcance son “offline_access”, ”write” o ”read”.

invalid_request

La solicitud no incluye un parĂĄmetro requerido, incluye un parĂĄmetro o valor de parĂĄmetro no admitido, tiene un valor duplicado o estĂĄ mal formada.

unsupported_grant_type

Los valores permitidos para grant_type son “authorization_code” o “refresh_token”.

forbidden

La llamada no autoriza el acceso, posiblemente se esté usando el token de otro usuario.

unauthorized_client

La aplicaciĂłn no tiene un grant con el usuario o los permisos (scopes) que la aplicaciĂłn tiene con este usuario no permiten crear un token.

429Error

local_rate_limited

La llamada no autoriza el acceso, por favor, inténtalo de nuevo.

Solicitud
curl -X POST \
    'https://api.mercadopago.com/oauth/token'\
    -H 'Content-Type: application/json' \
    -d '{
  "client_secret": "client_secret",
  "client_id": "client_id",
  "grant_type": "client_credentials",
  "code": "TG-XXXXXXXX-241983636",
  "code_verifier": "47DEQpj8HBSa-_TImW-5JCeuQeRkm5NMpJWZG3hSuFU",
  "redirect_uri": "https://www.redirect-url.com?code=CODE&state=RANDOM_ID",
  "refresh_token": "TG-XXXXXXXX-241983636",
  "test_token": "false"
}'
Respuesta de ejemplo
{
  "access_token": "APP_USR-4934588586838432-XXXXXXXX-241983636",
  "token_type": "bearer",
  "expires_in": 15552000,
  "scope": "read write offline_access",
  "user_id": 241983636,
  "refresh_token": "TG-XXXXXXXX-241983636",
  "public_key": "APP_USR-d0a26210-XXXXXXXX-479f0400869e",
  "live_mode": true
}