Inicio
Documentación
Recursos
Certificaciones
Comunidad

Recursos

Revisa las actualizaciones de nuestras soluciones y operatividad del sistema o pide soporte técnico.

Comunidad

Recibe las últimas novedades, pide ayuda a otros integradores y comparte tus conocimientos.

Crear y refrescar token - OAuth - Mercado Pago Developers
Crear y refrescar token

POST

https://api.mercadopago.com/oauth/token
Este endpoint se utiliza para crear o actualizar el Access Token necesario para operar tu aplicación.
Parámetros para la solicitud
BODY
client_secret
string

REQUERIDO

Clave privada para ser utilizada en algunos complementos para generar pagos. Una de las claves del par que componen las credenciales que identifican una aplicación/integración en tu cuenta.
client_id
string

REQUERIDO

ID único que identifica tu aplicación/integración. Una de las claves del par que componen las credenciales que identifican una aplicación/integración en tu cuenta.
grant_type
string

REQUERIDO

Especifica el tipo de operación a realizar para obtener tu Access Token. En el caso de Mercado Pago, hay tres flujos de acceso disponibles:
authorization_code: Flujo basado en redirección, caracterizado por la intervención del usuario para autorizar explícitamente el acceso a sus datos por la aplicación, y por el uso de un código proporcionado por el servidor de autenticación para que la aplicación pueda obtener un Access Token y un 'refresh_token' asociado.
refresh_token: En caso de que un Access Token generado a partir del flujo 'authorization_code' sea inválido o haya expirado, este flujo se utilizará para intercambiar una concesión temporal del tipo 'refresh_token' por un Access Token. Es decir, permitirá que el Access Token se actualice sin necesidad de una nueva interacción del usuario después de la autorización concedida inicialmente por el flujo 'authorization_code'.
client_credentials: Se utiliza para obtener un Access Token sin interacción del usuario, cuando las aplicaciones solicitan un Access Token usando solo sus propias credenciales para acceder a sus propios recursos, no pudiendo actuar en nombre de un usuario ni acceder a sus datos.
code
string
Código otorgado por el servidor de autenticación para que la aplicación pueda obtener un Access Token y un 'refresh_token' asociado. Tiene una validez de 10 minutos contados desde su generación. Obligatorio cuando grant_...Ver más
Parámetros de respuesta
access_token
string
Código de seguridad que identifica al usuario, sus privilegios y una aplicación utilizada en diferentes solicitudes de origen público para acceder a los recursos protegidos. Su validez está determinada por el parámetro expires_in y es similar a APP_USR-1585551492-030918-25######3458-2880736 estando compuesto por:
Access Token type: APP_USR (application on behalf of a user), TEST (test, only valid in sandbox)
Client ID: 1585551492
Creation date (MMddHH): 030918
Ver más
token_type
string
Información necesaria para que el token se utilice correctamente para acceder a los recursos protegidos. El token de tipo "bearer" es el único admitido por el servidor de autorización y se utiliza cuando el Access Token ...Ver más
expires_in
number
Tiempo de caducidad de access_token fijo expresado en segundos. De forma predeterminada, el tiempo de caducidad es de 180 días (15552000 segundos).
scope
string
Los scopes se utilizan en el proceso de autorización y consentimiento de la API y permiten determinar qué acceso solicita la aplicación y qué acceso otorga el usuario. De forma predeterminada, los ámbitos asociados con e...Ver más
Errores

400Error

invalid_client

El client_id y/o client_secret proporcionados de tu aplicación son inválidos.

invalid_grant

Hay varias razones para este error, podría ser porque el authorization_code o refresh_token son inválidos, han expirado, han sido revocados, se enviaron de forma incorrecta o pertenecen a otro cliente. También es posible que el redirect_uri utilizado en el flujo de autorización no coincida con lo que tu aplicación tiene configurado.

invalid_scope

El scope solicitado es inválido, desconocido o mal formado. Los valores permitidos para el parámetro de alcance son “offline_access”, ”write” o ”read”.

invalid_request

La solicitud no incluye un parámetro requerido, incluye un parámetro o valor de parámetro no admitido, tiene un valor duplicado o está mal formada.

unsupported_grant_type

Los valores permitidos para grant_type son “authorization_code” o “refresh_token”.

forbidden

La llamada no autoriza el acceso, posiblemente se esté usando el token de otro usuario.

unauthorized_client

La aplicación no tiene un grant con el usuario o los permisos (scopes) que la aplicación tiene con este usuario no permiten crear un token.

429Error

local_rate_limited

La llamada no autoriza el acceso, por favor, inténtalo de nuevo.

Solicitud
curl -X POST \
    'https://api.mercadopago.com/oauth/token'\
    -H 'Content-Type: application/json' \
    -d '{
  "client_secret": "client_secret",
  "client_id": "client_id",
  "grant_type": "client_credentials",
  "code": "TG-XXXXXXXX-241983636",
  "code_verifier": "47DEQpj8HBSa-_TImW-5JCeuQeRkm5NMpJWZG3hSuFU",
  "redirect_uri": "https://www.redirect-url.com?code=CODE&state=RANDOM_ID",
  "refresh_token": "TG-XXXXXXXX-241983636",
  "test_token": "false"
}'
Respuesta de ejemplo
{
  "access_token": "APP_USR-4934588586838432-XXXXXXXX-241983636",
  "token_type": "bearer",
  "expires_in": 15552000,
  "scope": "read write offline_access",
  "user_id": 241983636,
  "refresh_token": "TG-XXXXXXXX-241983636",
  "public_key": "APP_USR-d0a26210-XXXXXXXX-479f0400869e",
  "live_mode": true
}