跳转到主要内容

Aviso de seguridad importante

Principio de seguridad ante todo: al desarrollar y desplegar aplicaciones de terceros, la seguridad es la consideración más importante. Debes seguir estrictamente los principios de seguridad expuestos a continuación para garantizar la seguridad de los datos de los usuarios y del proceso de autorización.
  1. Nunca expongas client_secret en el código JavaScript del frontend
  2. El intercambio del código de autorización OAuth por el token debe gestionarse en el servidor
  3. Todo acceso a recursos protegidos del usuario debe pasar por un proxy de API en el backend
  4. Toda comunicación OAuth debe protegerse mediante HTTPS
¡Violar cualquiera de los principios de seguridad anteriores puede provocar vulnerabilidades de seguridad graves!

📋 Índice

  1. Descripción general
  2. Primeros pasos
  3. Flujo de autorización OAuth2
  4. Referencia de la API
  5. SDK y ejemplos de código
  6. Buenas prácticas de seguridad
  7. Preguntas frecuentes
  8. Soporte técnico

Descripción general

Ofrecemos una API abierta basada en el estándar OAuth2 que permite a las aplicaciones de terceros acceder de forma segura a la información básica de los usuarios y al saldo de su cuenta. A través de nuestro servicio OAuth2, tu aplicación puede:
  • 🚀 Inicio de sesión con un clic: los usuarios no necesitan registrarse de nuevo; el inicio de sesión concede automáticamente la autorización, proporcionando una experiencia verdaderamente fluida
  • 👤 Obtener información del usuario: acceder al perfil básico de los usuarios (nombre de usuario, correo electrónico, etc.)
  • 💰 Ver el saldo de la cuenta: obtener el saldo de la cuenta del usuario en tiempo real
  • 🔄 Redirección a recarga: guía al usuario a nuestra página de recarga para recargar su cuenta
  • 🔐 Renovación automática de tokens: mecanismo integrado de refresh token para una renovación sin interrupciones, mejorando la experiencia del usuario

Primeros pasos

1. Registra una cuenta de desarrollador

Primero, debes registrar una cuenta de desarrollador en nuestro sistema.

2. Crea una aplicación OAuth

Crea tu aplicación OAuth en la consola de desarrolladores:
API call example
Ejemplo de respuesta:
Aviso de seguridad importante:
  • client_id puede utilizarse en el frontend (información pública)
  • client_secret solo puede utilizarse del lado del servidor y nunca debe exponerse al navegador
  • Almacena client_secret en variables de entorno; no lo dejes en duro en el código

3. Configura el Redirect URI

Asegúrate de que tu URI de redirección cumpla los siguientes requisitos:
  • Utilice el protocolo HTTPS (en producción)
  • Apunte a un endpoint de tu servidor (no a una página de frontend)
  • El dominio esté registrado y sea accesible
  • La ruta sea específica del endpoint de API que gestiona la callback

Flujo de autorización OAuth2

Diagrama de flujo seguro

Instrucciones paso a paso

Paso 1: Guía al usuario para que autorice

Añade un botón de inicio de sesión en tu página de frontend. Al hacer clic, redirige al endpoint de autorización del lado del servidor:
Frontend code - only responsible for redirecting

Paso 2: Manejador de autorización en el servidor

Implementa el manejador de autorización en tu servidor:
Server-side code

Paso 3: Gestionar la callback de autorización (del lado del servidor)

Server-side authorization callback handler

Paso 4: El frontend obtiene la información del usuario

Frontend fetches user info via API proxy
Server-side API proxy

Referencia de la API

1. Endpoint de autorización

GET /api/oauth2/authorize Guía al usuario a través de la autorización OAuth2. Parámetros: Requisitos de seguridad:
  • redirect_uri debe coincidir exactamente con la dirección registrada
  • state debe ser una cadena aleatoria generada en el servidor
  • Se debe usar HTTPS (en producción)
Explicación de los scopes:
  • profile: Acceso a la información básica del usuario (nombre de usuario, correo electrónico)
  • balance: Acceso al saldo de la cuenta del usuario

2. Endpoint del token

POST /api/oauth2/token
Aviso de seguridad: ¡este endpoint solo puede llamarse desde el lado del servidor, nunca desde el frontend!
Se utiliza en dos escenarios:
  1. Intercambiar el código de autorización por un access token
  2. Usar el refresh token para obtener un nuevo access token
Parámetros para la concesión por código de autorización: Parámetros para la concesión por refresh token: Ejemplo de respuesta:

3. Endpoint de información del usuario

GET /api/oauth2/userinfo Obtén la información básica del usuario y el saldo de su cuenta. Cabecera de la solicitud:
header
Ejemplo de respuesta:
response

SDK y ejemplos de código

SDK de JavaScript

Ofrecemos un SDK completo de JavaScript que puedes utilizar directamente:

Página de callback de OAuth

Crea un archivo /oauth/callback.html:

Ejemplo de backend en Node.js

Para mayor seguridad, se recomienda gestionar client_secret en el backend:

Buenas prácticas de seguridad

1. Protección del client secret

  • ✅ Recomendado: Almacena client_secret en el servidor backend
  • ❌ Evitar: Exponer client_secret en JavaScript del frontend

2. Validación del parámetro state

3. Uso de HTTPS

  • Debe usarse HTTPS en producción
  • El URI de callback debe usar HTTPS
  • Todas las solicitudes a la API usan HTTPS

4. Almacenamiento seguro de tokens

5. Manejo de errores

Preguntas frecuentes

P1: ¿Cómo conseguir una verdadera experiencia de inicio de sesión con un clic?

R: Solo tienes que añadir el parámetro auto_authorize=true a la URL de autorización. Después de que el usuario inicie sesión, la autorización se concederá automáticamente, sin ningún paso adicional de confirmación:

P2: ¿Los tokens se renuevan automáticamente?

R: Sí, nuestro SDK incorpora la renovación automática de tokens:
  • Access token: válido durante 2 horas, se renueva automáticamente 5 minutos antes de su expiración
  • Refresh token: válido durante 30 días, se utiliza para obtener nuevos access tokens
  • Renovación sin interrupciones: Todas las llamadas a la API comprobarán y renovarán automáticamente los tokens caducados
  • Reintento en caso de fallo: Si la API devuelve un error 401, intentará renovar automáticamente el token y reintentar
Solo si el refresh token también caduca el usuario deberá iniciar sesión de nuevo.

P3: ¿Qué información del usuario puedo obtener?

R: Según el alcance autorizado, puedes obtener:
  • Scope profile: nombre de usuario, correo electrónico
  • Scope balance: información del saldo de la cuenta

P4: ¿Cómo puedo probar la integración OAuth?

R:
  1. Usa HTTP localhost en desarrollo para realizar pruebas
  2. Utiliza nuestras herramientas de prueba proporcionadas para verificar el flujo de autorización
  3. Comprueba las solicitudes de red en las herramientas de desarrollador de tu navegador

P5: ¿Qué lenguajes de programación se admiten?

R: Nuestra API OAuth2 es estándar y admite todos los lenguajes de programación principales:
  • JavaScript/Node.js
  • Python
  • PHP
  • Java
  • C#/.NET
  • Go
  • Ruby

P6: ¿Cómo puede un usuario revocar la autorización?

R: Los usuarios pueden revocar la autorización de aplicaciones de terceros en la página Centro de usuarios > Gestión de autorizaciones.

Última actualización: 2026-06-01