OAuth-Anwendungen

Entwicklerportal

Erstellen und verwalten Sie Partneranwendungen bei https://apps.makecrypto.io. Anwendungen gehören zu einem MakeCrypto-Unternehmen und definieren die Umleitungs-URIs. Zulässige OAuth-Bereiche, Webhooks, Symbol, Supportkontakt, Datenschutzrichtlinie und Bedingungen während der Einwilligung angezeigt.

Jede vertrauliche Anwendung verfügt über ein Client-Geheimnis. Das Geheimnis wird einmal gezeigt Wenn es erstellt oder rotiert wird, wird es nur als Hash gespeichert. Öffentliche Anwendungen müssen PKCE verwenden und dürfen kein Geheimnis erhalten.

Autorisierungscode mit PKCE

MakeCrypto unterstützt delegiertes Unternehmens-OAuth für Partneranwendungen. Starten Sie die Flow, indem der Benutzer mit einer genauen Registrierung an den Autorisierungsendpunkt gesendet wird Umleitungs-URI und eine PKCE S256-Herausforderung.

GET https://makecrypto.io/oauth/authorize
  ?response_type=code
  &client_id=mco_app_...
  &redirect_uri=https%3A%2F%2Fpartner.example%2Fcallback
  &scope=company%3Aread%20makepay%3Apayment-links%3Aread
  &resource=https%3A%2F%2Fmakecrypto.io%2Fapi%2Fpartner%2Fv1
  &code_challenge=BASE64URL_SHA256_VERIFIER
  &code_challenge_method=S256

Der Benutzer wählt das Unternehmen aus, überprüft die angeforderten Berechtigungen und genehmigt sie oder lehnt den Zugriff ab. Wenn die Genehmigung erfolgreich ist, leitet MakeCrypto mit einem Kurzschluss zurück gelebter Autorisierungscode.

Tauschen Sie den Code am Token-Endpunkt aus. Vertrauliche Clients authentifizieren sich mit client_secret_basic oder client_secret_post; Öffentliche Clients authentifizieren sich mit ihren client_id- und PKCE-Verifizierer.

POST https://makecrypto.io/oauth/token
Content-Type: application/x-www-form-urlencoded
Authorization: Basic base64(client_id:client_secret)

grant_type=authorization_code
&code=mco_code_...
&redirect_uri=https%3A%2F%2Fpartner.example%2Fcallback
&code_verifier=ORIGINAL_PKCE_VERIFIER

Zugriffstoken sind kurzlebige JWT-Inhabertoken. Aktualisierungstoken rotieren bei jedem Die Wiederverwendung des Refresh-Tokens widerruft die Token-Familie.

Bei offiziellen nativen Integrationen wie dem WordPress-Plugin MakePay ist dies nicht der Fall Verwenden Sie das Entwicklerportal oder ein gemeinsames Client-Geheimnis. Sie registrieren eine pro Filiale Öffentliche Installation unter POST /oauth/native/installations, verwenden Sie den genauen Rückruf URI-Abgleich und Empfang von DPoP-gebundenen Token, die mit gesendet werden müssen Authorization: DPoP und ein passender Proof-Header DPoP.

Offizielle SDKs

Verwenden Sie die offiziellen SDKs, wenn Sie eine serverseitige Integration ohne Erstellung wünschen der HTTP-Client, Zahlungslink-Payloads und Webhook-Signaturüberprüfung von kratzen.

SDK	Benutze es für	Führung
MakePay PHP SDK	PHP, Laravel, Symfony, benutzerdefinierter Checkout und Erstellung von Backend-Zahlungslinks.	PHP SDK
MakePay NPM SDK	Node.js, Next.js, TypeScript-Backends und serverseitige Webhook-Handler.	NPM SDK

Endpunkte

Zweck	Endpunkt
Genehmigung	GET /oauth/authorize
Token-Austausch	POST /oauth/token
Widerruf	POST /oauth/revoke
Selbstbeobachtung	POST /oauth/introspect
Autorisierungsanfrage gesendet	POST /oauth/par
Registrierung der nativen Installation	POST /oauth/native/installations
JWKS	GET /oauth/jwks.json
Metadaten des Autorisierungsservers	GET /.well-known/oauth-authorization-server
Geschützte Ressourcenmetadaten	GET /.well-known/oauth-protected-resource

Bereiche

Umfang	Zugang
company:read	Ausgewählte Unternehmensidentität und Grundeinstellungen lesen.
wallet:balances:read	Lesen Sie die Wallet-Guthaben für das ausgewählte Unternehmen.
wallet:activity:read	Lesen Sie die Wallet- und Abrechnungsaktivitäten.
makepay:payment-links:read	Lesen Sie die MakePay-Zahlungslinks und den Zahlungsstatus.
makepay:payment-links:write	Erstellen und aktualisieren Sie MakePay-Zahlungslinks.
makepay:customers:read	Lesen Sie MakePay-Kundendatensätze.
makepay:customers:write	Erstellen und aktualisieren Sie MakePay-Kundendatensätze.
makepay:subscriptions:read	MakePay-Abonnementdatensätze lesen.
makepay:subscriptions:write	Erstellen und aktualisieren Sie MakePay-Abonnements.
makepay:settings:read	Lesen Sie die MakePay-Händlereinstellungen und aktivierten Assets.
makepay:settings:write	Aktualisieren Sie die MakePay-Händlereinstellungen und die Rückrufkonfiguration.
makepay:webhooks:read	Lesen Sie MakePay-Webhook-Endpunkte und Bereitstellungsprotokolle.
makepay:webhooks:write	Erstellen, aktualisieren, testen und wiederholen Sie MakePay-Webhook-Lieferungen.

API-Routenberechtigungen

Route	Verfahren	Erforderlicher Umfang
/api/partner/v1/makepay/payment-links	GET	makepay:payment-links:read
/api/partner/v1/makepay/payment-links	POST	makepay:payment-links:write
/api/partner/v1/makepay/customers	GET	makepay:customers:read
/api/partner/v1/makepay/customers	POST	makepay:customers:write
/api/partner/v1/makepay/subscriptions	GET	makepay:subscriptions:read
/api/partner/v1/makepay/subscriptions	POST	makepay:subscriptions:write
/api/partner/v1/makepay/settings	GET	makepay:settings:read
/api/partner/v1/makepay/settings	PUT	makepay:settings:write
/api/partner/v1/makepay/webhook-requests	GET	makepay:webhooks:read
/api/partner/v1/companies/{id}/wallet/balances	GET	wallet:balances:read
/api/partner/v1/companies/{id}/wallet/activity	GET	wallet:activity:read

Webhook-Signierung

Anwendungs-Webhooks enthalten einen makecrypto-signature-Header mit Zeitstempel und v1-Signaturwerte. Überprüfen Sie die Aktualität des Zeitstempels und erstellen Sie die signierte Nutzlast neu B. timestamp.rawBody, und vergleichen Sie die Signatur mit dem angezeigten Webhook-Geheimnis einmal, wenn der Endpunkt erstellt oder gedreht wird.

Vernetzte App-Verwaltung

Genehmigte OAuth-Zuschüsse sind im Unternehmens-Dashboard unten sichtbar Integrations -> Connected apps. Unternehmensadministratoren können zuletzt den App-Status überprüfen Zugriff und gewährte Bereiche und entziehen Sie dann den Zugriff, wenn eine Partnerverbindung dies tun sollte aufhören zu arbeiten.