Apps para desarrolladores
Aplicaciones OAuth
Crea apps partner, solicita acceso delegado a empresas y llama APIs MakeCrypto con tokens OAuth acotados.
Portal de desarrolladores
Crea y gestiona aplicaciones partner en https://apps.makecrypto.io. Las aplicaciones pertenecen a una empresa MakeCrypto y definen las URIs de redirección, scopes OAuth permitidos, webhooks, icono, contacto de soporte, política de privacidad y términos mostrados durante el consentimiento.
Cada aplicación confidencial tiene un client secret. El secreto se muestra una vez cuando se crea o rota, y luego se almacena solo como hash. Las aplicaciones públicas deben usar PKCE y no reciben secreto.
Código de autorización con PKCE
MakeCrypto soporta OAuth delegado por empresa para aplicaciones partner. Inicia el flujo enviando al usuario al endpoint de autorización con una URI de redirección registrada exacta y un desafío PKCE S256.
GET https://makecrypto.io/oauth/authorize
?response_type=code
&client_id=mco_app_...
&redirect_uri=https%3A%2F%2Fpartner.example%2Fcallback
&scope=company%3Aread%20makepay%3Apayment-links%3Aread
&resource=https%3A%2F%2Fmakecrypto.io%2Fapi%2Fpartner%2Fv1
&code_challenge=BASE64URL_SHA256_VERIFIER
&code_challenge_method=S256
El usuario elige la empresa, revisa los permisos solicitados y aprueba o rechaza el acceso. Si aprueba, MakeCrypto redirige de vuelta con un código de autorización de corta duración.
Intercambia el código en el endpoint de token. Los clientes confidenciales autentican con client_secret_basic o client_secret_post; los clientes públicos autentican con su client_id y verificador PKCE.
POST https://makecrypto.io/oauth/token
Content-Type: application/x-www-form-urlencoded
Authorization: Basic base64(client_id:client_secret)
grant_type=authorization_code
&code=mco_code_...
&redirect_uri=https%3A%2F%2Fpartner.example%2Fcallback
&code_verifier=ORIGINAL_PKCE_VERIFIER
Los access tokens son JWT bearer de corta duración. Los refresh tokens rotan en cada uso, y la reutilización de un refresh token revoca la familia de tokens.
Las integraciones nativas oficiales, como el plugin WordPress de MakePay, no usan el portal de desarrolladores ni un client secret compartido. Registran una instalación pública por tienda en POST /oauth/native/installations, usan coincidencia exacta de callback URI y reciben tokens ligados a DPoP que deben enviarse con Authorization: DPoP y una cabecera de prueba DPoP correspondiente.
SDK oficiales
Usa los SDK oficiales cuando quieras una integración server-side sin construir desde cero el cliente HTTP, los payloads de enlaces de pago y la verificación de firmas de webhooks.
| SDK | Uso | Guía |
|---|---|---|
| SDK PHP de MakePay | PHP, Laravel, Symfony, checkout personalizado y creación backend de enlaces de pago. | SDK PHP |
| SDK NPM de MakePay | Node.js, Next.js, backends TypeScript y handlers server-side de webhooks. | SDK NPM |
Endpoints
| Propósito | Endpoint |
|---|---|
| Autorización | GET /oauth/authorize |
| Intercambio de token | POST /oauth/token |
| Revocación | POST /oauth/revoke |
| Introspección | POST /oauth/introspect |
| Pushed authorization request | POST /oauth/par |
| Registro de instalación nativa | POST /oauth/native/installations |
| JWKS | GET /oauth/jwks.json |
| Metadata del servidor de autorización | GET /.well-known/oauth-authorization-server |
| Metadata de recurso protegido | GET /.well-known/oauth-protected-resource |
Scopes
| Scope | Acceso |
|---|---|
company:read | Leer identidad y ajustes básicos de la empresa seleccionada. |
wallet:balances:read | Leer saldos de wallet de la empresa seleccionada. |
wallet:activity:read | Leer actividad de wallet y liquidación. |
makepay:payment-links:read | Leer enlaces de pago MakePay y estado de pago. |
makepay:payment-links:write | Crear y actualizar enlaces de pago MakePay. |
makepay:customers:read | Leer registros de clientes MakePay. |
makepay:customers:write | Crear y actualizar registros de clientes MakePay. |
makepay:subscriptions:read | Leer registros de suscripciones MakePay. |
makepay:subscriptions:write | Crear y actualizar suscripciones MakePay. |
makepay:settings:read | Leer ajustes de merchant MakePay y activos habilitados. |
makepay:settings:write | Actualizar ajustes de merchant MakePay y configuración de callback. |
makepay:webhooks:read | Leer endpoints de webhook MakePay y logs de entrega. |
makepay:webhooks:write | Crear, actualizar, probar y reintentar entregas de webhook MakePay. |
Permisos de rutas API
| Ruta | Método | Scope requerido |
|---|---|---|
/api/partner/v1/makepay/payment-links | GET | makepay:payment-links:read |
/api/partner/v1/makepay/payment-links | POST | makepay:payment-links:write |
/api/partner/v1/makepay/customers | GET | makepay:customers:read |
/api/partner/v1/makepay/customers | POST | makepay:customers:write |
/api/partner/v1/makepay/subscriptions | GET | makepay:subscriptions:read |
/api/partner/v1/makepay/subscriptions | POST | makepay:subscriptions:write |
/api/partner/v1/makepay/settings | GET | makepay:settings:read |
/api/partner/v1/makepay/settings | PUT | makepay:settings:write |
/api/partner/v1/makepay/webhook-requests | GET | makepay:webhooks:read |
/api/partner/v1/companies/{id}/wallet/balances | GET | wallet:balances:read |
/api/partner/v1/companies/{id}/wallet/activity | GET | wallet:activity:read |
Firma de webhooks
Los webhooks de aplicación incluyen una cabecera makecrypto-signature con timestamp y valores de firma v1. Verifica frescura del timestamp, reconstruye el payload firmado como timestamp.rawBody y compara la firma con el secreto de webhook mostrado una vez al crear o rotar el endpoint.
Gestión de apps conectadas
Los grants OAuth aprobados son visibles en el dashboard de empresa bajo Integrations -> Connected apps. Los administradores de empresa pueden revisar estado de app, último acceso y scopes concedidos, y revocar acceso cuando una conexión partner deba dejar de funcionar.