Получение токена
Если авторизация завершилась успехом, приложение должно немедленно обменять временный токен на токен авторизации. Для этого необходимо отправить запрос, содержащий временный токен, на OAuth-сервер ЮMoney.
Запрос
Запрос должен быть отправлен методом POST.
Формат запроса
POST /oauth/token HTTP/1.1 Host: yoomoney.ru Content-Type: application/x-www-form-urlencoded Content-Length: <content-length> code=<code>&client_id=<client_id>&grant_type=authorization_code&redirect_uri=<redirect_uri>
Параметры запроса
Параметр | Тип | Описание |
---|---|---|
code | string | Временный токен (authorization code ). |
client_id | string | Идентификатор приложения, полученный при регистрации. |
grant_type | string | Фиксированное значение: authorization_code . |
redirect_uri | string | URI, на который OAuth-сервер передает результат авторизации. Значение этого параметра при посимвольном сравнении должно быть идентично значению redirect_uri , ранее переданному в запросе authorize . |
client_secret | string | Секретное слово для проверки подлинности приложения. Указывается, если сервис зарегистрирован с проверкой подлинности. |
Пример запроса без проверки подлинности
POST /oauth/token HTTP/1.1 Host: yoomoney.ru Content-Type: application/x-www-form-urlencoded Content-Length: 421 code=0DF3343A8D9C7B005B1952D9B933DC56ACB7FED6D3F2590A6FD90EC6391050EDFFCC993D325B41B00F58E5383F37F6831E8F415696E1CF07676EE8D0A3655CDD7C667189DFB69BFDB7116C0329303AB2554290048BAF9B767B4C335BF0E85830AC017AD2F14D97F529893C202D3B2C27A61EE53DC4FB04DAE8E815DE2E3F865F&client_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ01&grant_type=authorization_code&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
Пример запроса с проверкой подлинности по секретному слову
POST /oauth/token HTTP/1.1 Host: yoomoney.ru Content-Type: application/x-www-form-urlencoded Content-Length: 580 code=0DF3343A8D9C7B005B1952D9B933DC56ACB7FED6D3F2590A6FD90EC6391050EDFFCC993D325B41B00F58E5383F37F6831E8F415696E1CF07676EE8D0A3655CDD7C667189DFB69BFDB7116C0329303AB2554290048BAF9B767B4C335BF0E85830AC017AD2F14D97F529893C202D3B2C27A61EE53DC4FB04DAE8E815DE2E3F865F&client_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ01&grant_type=authorization_code&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb&client_secret=NH2FGEYIS57DXVO4CJ4APTQVWWH78JZ140EIMJ5YOLTG0TQV0OIM9WBN1DGRZ3LP9AJK8ROAGMZFELPNK863HPRCF14CLWQXX66DSBHT3Z1X9WDC2I7MNKEWFY9285ARSW57QSWKBYB0263V
Ответ
В ответ на запрос сервер ЮMoney возвращает токен авторизации (
access_token
), который является симметричным секретом приложения и дает право проводить операции со счетом пользователя.Токен возвращается в виде JSON-документа, который (в зависимости от результата обмена) может содержать одно из следующих полей:
Параметр | Тип | Описание |
---|---|---|
access_token | string | Токен авторизации. Присутствует в случае успеха. |
error | string | Код ошибки. Присутствует в случае ошибки. |
Возможные ошибки (значение поля error)
Код ошибки | Описание |
---|---|
invalid_request | Обязательные параметры запроса отсутствуют или имеют некорректные или недопустимые значения. |
unauthorized_client | Неверное значение параметра client_id или client_secret , либо приложение не имеет права запрашивать авторизацию (например, ЮMoney заблокировали его client_id ). |
invalid_grant | В выдаче access_token отказано. ЮMoney не выдавали временный токен, токен просрочен, или по этому временному токену уже выдан access_token (повторный запрос токена авторизации с тем же временным токеном). |
Пример ответа при успешном обмене временного токена
HTTP/1.1 200 OK Content-Type: application/json Content-Length: 293 Cache-Control: no-store { "access_token":"410012345678901.0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123" }
Пример ответа при ошибке
HTTP/1.1 400 Bad Request Content-Type: application/json Content-Length: 25 Cache-Control: no-store { "error":"invalid_grant" }
Использовать временный токен можно только один раз. Если приложению не удалось получить ответ сервера за время жизни временного токена, процедуру авторизации следует повторить сначала.
Полученный
access_token
является симметричным секретом авторизации, поэтому разработчик приложения должен предпринять меры по его защите: хранить токен в зашифрованном виде, предоставлять доступ к нему только после авторизации пользователя в приложении. Например, токен авторизации может быть зашифрован с помощью алгоритма 3DES, где ключ шифрования — четырехзначный пин-код.Токены, полученные до 7 февраля 2018 года, действуют 6 месяцев. Токены, полученные позже, действуют 3 года.
Что почитать еще