Aviso Importante de Segurança
Princípio de segurança em primeiro lugar: Ao desenvolver e implantar aplicações de terceiros, a segurança é a consideração mais importante. Você deve seguir rigorosamente os princípios de segurança abaixo para garantir a segurança dos dados do usuário e do processo de autorização. A violação de qualquer um dos princípios de segurança acima pode resultar em sérias vulnerabilidades de segurança!📋 Sumário
- Visão Geral
- Primeiros Passos
- Fluxo de Autorização OAuth2
- Referência da API
- SDK e Exemplos de Código
- Melhores Práticas de Segurança
- Perguntas Frequentes
- Suporte Técnico
Visão Geral
Fornecemos uma API aberta baseada no padrão OAuth2, permitindo que aplicações de terceiros acessem com segurança as informações básicas dos usuários e seus saldos de conta. Através do nosso serviço OAuth2, sua aplicação pode:- 🚀 Login com um clique: Os usuários não precisam se registrar novamente, o login concede autorização automaticamente para uma experiência verdadeiramente sem atrito
- 👤 Obter informações do usuário: Acesse o perfil básico dos usuários (nome de usuário, e-mail, etc.)
- 💰 Visualizar saldo da conta: Obtenha o saldo da conta dos usuários em tempo real
- 🔄 Redirecionamento para recarga: Direcione os usuários para nossa página de recarga
- 🔐 Atualização automática de token: Mecanismo de refresh token integrado para renovação contínua, melhorando a experiência do usuário
Primeiros Passos
1. Registrar uma Conta de Desenvolvedor
Primeiro, você precisa registrar uma conta de desenvolvedor em nosso sistema.2. Criar uma Aplicação OAuth
Crie sua aplicação OAuth no console do desenvolvedor:API call example
3. Configurar a URI de Redirecionamento
Certifique-se de que sua URI de redirecionamento atenda aos seguintes requisitos:- Usa protocolo HTTPS (para produção)
- Aponta para um endpoint do seu servidor (não uma página de frontend)
- O domínio está registrado e acessível
- O caminho é específico para o endpoint da API que trata o callback
Fluxo de Autorização OAuth2
Diagrama do Fluxo Seguro
Instruções Passo a Passo
Passo 1: Direcionar o Usuário para Autorizar
Adicione um botão de login na sua página frontend. Quando clicado, redirecione para o endpoint de autorização do lado do servidor:Frontend code - only responsible for redirecting
Passo 2: Handler de Autorização do Lado do Servidor
Implemente o handler de autorização em seu servidor:Server-side code
Passo 3: Tratar o Callback de Autorização (Lado do Servidor)
Server-side authorization callback handler
Passo 4: Frontend Obtém as Informações do Usuário
Frontend fetches user info via API proxy
Server-side API proxy
Referência da API
1. Endpoint de Autorização
GET/api/oauth2/authorize
Conduz o usuário pela autorização OAuth2.
Parâmetros:
Requisitos de segurança:
redirect_urideve corresponder exatamente ao endereço registradostatedeve ser uma string aleatória gerada no servidor- HTTPS deve ser usado (em produção)
profile: Acessa informações básicas do usuário (nome de usuário, e-mail)balance: Acessa o saldo da conta do usuário
2. Endpoint de Token
POST/api/oauth2/token
Usado em dois cenários:
- Trocar código de autorização por access token
- Usar refresh token para obter um novo access token
Parâmetros do grant de refresh token:
Exemplo de resposta:
3. Endpoint de Informações do Usuário
GET/api/oauth2/userinfo
Obtém as informações básicas do usuário e o saldo da conta.
Header da requisição:
header
response
SDK e Exemplos de Código
SDK JavaScript
Fornecemos um SDK JavaScript completo que você pode usar diretamente:Página de Callback do OAuth
Crie um arquivo/oauth/callback.html:
Exemplo de Backend em Node.js
Para melhor segurança, é recomendado tratarclient_secret no backend:
Melhores Práticas de Segurança
1. Proteção do Client Secret
- ✅ Recomendado: Armazene
client_secretno servidor backend - ❌ Evite: Expor
client_secretno JavaScript do frontend
2. Validação do Parâmetro State
3. Uso de HTTPS
- Deve usar
HTTPSem produção - A URI de callback deve usar
HTTPS - Todas as requisições de API usam
HTTPS
4. Armazenamento Seguro do Token
5. Tratamento de Erros
Perguntas Frequentes
Q1: Como obter uma verdadeira experiência de login com um clique?
R: Basta adicionar o parâmetroauto_authorize=true à URL de autorização. Após o login do usuário, a autorização será concedida automaticamente, sem etapa adicional de confirmação:
Q2: Os tokens serão atualizados automaticamente?
R: Sim, nosso SDK possui refresh automático de token integrado:- Access token: válido por 2 horas, refresh automático 5 minutos antes de expirar
- Refresh token: válido por 30 dias, usado para obter novos access tokens
- Refresh sem atritos: Todas as chamadas de API verificarão e atualizarão tokens expirados automaticamente
- Retry em caso de falha: Se a API retornar um erro 401, tentará automaticamente refresh do token e nova requisição
Q3: Quais informações de usuário posso obter?
R: De acordo com o escopo autorizado, você pode obter:- Escopo
profile: nome de usuário, e-mail - Escopo
balance: informações de saldo da conta
Q4: Como testar a integração OAuth?
R:- Use
HTTP localhostem desenvolvimento para testes - Use nossas ferramentas de teste fornecidas para verificar o fluxo de autorização
- Verifique as requisições de rede nas ferramentas de desenvolvedor do navegador
Q5: Quais linguagens de programação são suportadas?
R: Nossa API OAuth2 é padrão e suporta todas as principais linguagens de programação:- JavaScript/Node.js
- Python
- PHP
- Java
- C#/.NET
- Go
- Ruby