开发者应用
OAuth 应用
创建合作伙伴应用、请求委托公司访问,并使用带权限范围的 OAuth 令牌调用 MakeCrypto API。
开发者门户
MakeCrypto 开发者应用允许合作伙伴请求委托公司访问,并使用带权限范围的 OAuth 令牌调用 MakeCrypto 和 MakePay API。每个应用都有 client ID、允许的 redirect URI、请求权限范围和 Webhook 设置。
带 PKCE 的授权码流程
合作伙伴应用将商户发送到 MakeCrypto 授权页,并携带 client_id、redirect_uri、scope、state、code_challenge 和 code_challenge_method=S256。商户登录、选择公司并批准后,MakeCrypto 带 code 返回 redirect URI。后端随后用匹配的 code_verifier 调用 POST /oauth/token 换取访问令牌。
官方 SDK
PHP 和 npm SDK 会处理常见请求、支付链接创建和 Webhook 验证。对于自定义语言,请按照 API 参考中的请求头和对象模型实现。
端点
常用端点包括授权页、POST /oauth/token、公司和 MakePay API 路由。MakePay 支付 API 可以使用 OAuth 令牌或 MakePay API key,具体取决于路由和产品范围。
权限范围
典型 MakePay 应用会请求:
company:readmakepay:payment-links:readmakepay:payment-links:writemakepay:customers:readmakepay:customers:writemakepay:settings:readmakepay:settings:write
只请求集成真正需要的权限。商户可以在批准页面看到权限,并可稍后撤销连接。
API 路由权限
读取路由通常需要相应 read scope,创建或更新路由需要 write scope。设置类路由需要 makepay:settings:*。当请求不满足公司访问或 scope 要求时,API 会返回 403 Forbidden。
Webhook 签名
应用 Webhook 应使用共享 secret 验证签名。读取原始请求体,验证时间戳和 HMAC 后再处理事件,避免重放和伪造载荷。
已连接应用管理
商户可以在 MakeCrypto 的 Integrations > Connected apps 查看和撤销已连接应用。合作伙伴应处理撤销后的 API 失败,并提示商户重新连接。