Inicio
Documentação
Recursos
Parcerias
Comunidade

Documentação

Consulte as informações necessárias para integrar nossas soluções.

Pagamentos onlinePagamentos presenciaisPlataformas de e-commerceTeste o funcionamento das soluções
Referência APIBibliotecas SDK

Começando agora?

Visite a página de Primeiros passos para aprender a integrar.

Recursos

Confira as atualizações das nossas soluções e do funcionamento do sistema ou peça suporte técnico.

ChangelogStatus Mercado Pago

Suporte

Com minha contaCom minha integração

Parcerias

Conheça nosso programa para agências ou desenvolvedores que oferecem serviços de integração e vendedores que desejam contratá-los.

Sobre o programaPara agênciasPara desenvolvedoresPara plataformas
Contrate um parceiro para integrar seu site

Comunidade

Fique por dentro das últimas novidades, peça ajuda a outros integradores e compartilhe seu conhecimento.

NotíciasNewsletterComunidade no DiscordCanal no Youtube
Pagamentos online

Sem programação

Link de pagamento

Pagamento com link ou botão.

Planos de assinatura

Pagamentos recorrentes sem integração.

Com programação

Checkout Pro

Pronto para configurar.

Checkout Bricks

Módulos para montar.

Checkout Transparente

Controle total.

Assinaturas

Pagamentos recorrentes com integração.

Plataformas

Shopify

WooCommerce

VTEX

Loja Integrada

Prestashop

Commerce Cloud

Wix

Mostrar mais

Pagamentos presenciais
Mercado Pago Point

Maquininhas de cartões.

Código QR

Código para escanear.

Ferramentas e recursos

Gerenciamento de integrações

Suas integrações

Soluções de pagamento integradas.

Detalhes da aplicação

Guia para gerenciar integrações.

Credenciais

Chaves de acesso seguro.

Testes

Testes de funcionamento.

Qualidade

Medição de desempenho.

Ferramentas

Segurança

Protocolos e normativas.

Relatórios

Detalhamento de operações.

Atualizações

Changelog

Histórico de alterações.

Estatus Mercado Pago

Operacionalidade do serviço.

APIs e SDKs
Referência API

Endpoints e parâmetros.

Bibliotecas SDK

Kit técnico de desenvolvimento.

OAuth - Segurança - Mercado Pago Developers

OAuth

OAuth é um protocolo de autorização que permite que aplicativos tenham acesso limitado a informações privadas das contas do Mercado Pago. Ele utiliza o protocolo HTTP e introduz uma camada de autenticação e autorização. Através desse protocolo, é possível solicitar acesso a recursos protegidos dos vendedores utilizando um Access Token que é limitado a um aplicativo específico, sem a necessidade de usar as credenciais dos vendedores através dos fluxos de acesso.

Nota
A utilização do protocolo OAuth se difere do processo do compartilhamento de credenciais. OAuth não aborda questões relacionadas à autenticação do cliente, nem informações relacionadas a ele. Sua responsabilidade está nos métodos de obtenção de um token para acessar um recurso.

Ao usar o OAuth, é importante considerar alguns aspectos para que a integração funcione corretamente. Acesse as Boas práticas para a integração do OAuth e veja um guia para possíveis erros e boas práticas para utilização do OAuth.

Access Token

É um código utilizado em diferentes requests públicos para acessar um recurso protegido. Ele representa uma autorização concedida por um vendedor a uma aplicação do cliente, contendo scopes e um tempo de validade limitado para o acesso.

Veja como obter e renovar o Access Token.

Temporary grants

Os temporary grants são códigos temporários utilizados para serem trocados por um Access Token. Ao contrário dos Access Token, eles só podem ser usados para chamadas com o servidor de autorização e nunca são enviados para servidores de recursos.

Como este é um fluxo baseado em redirecionamento, o cliente deve ser capaz de interagir com o agente do usuário do proprietário do recurso (normalmente um navegador web) e de receber solicitações de entrada (via redirecionamento) do servidor de autorização.

Tipos de temporary grants:

  • authorization_code: duração de 10 minutos e o seu uso é único.
  • refresh_token: duração de 6 meses e podem ser reutilizados.

Fluxos de acesso (grant types)

Os fluxos, também conhecidos como grant types, são diferentes maneiras de uma aplicação obter um Access Token para acessar os dados expostos por uma API. No Mercado Pago, existem três fluxos de acesso disponíveis:

  • Authorization code: fluxo baseado em redirecionamento e que deve ser usado quando se for usar as credenciais para acessar um recurso em nome de terceiros. Este fluxo é caracterizado pela intervenção do usuário para autorizar explicitamente o acesso aos seus dados pela aplicação e pelo uso de um código fornecido pelo servidor de autenticação para que a aplicação possa obter um Access Token e um refresh_token associado. Veja mais informações em Obter Access Token.
  • Refresh token: caso um Access Token gerado a partir do fluxo Authorization code esteja inválido ou expirado, este fluxo será usado para trocar um concessão temporária do tipo refresh_token por um Access Token. Ou seja, isso permite que o Access Token seja atualizado sem a necessidade de interação do usuário novamente após a autorização concedida pelo fluxo Authorization code. Veja mais informações em Renovar Access Token.
  • Client credentials: quando se for usar as credenciais para acessar um recurso em nome próprio, ou seja, é utilizado para obter um Access Token sem interação do usuário. Este fluxo é utilizado quando as aplicações solicitam um Access Token usando apenas as suas próprias credenciais para acessar seus próprios recursos, não podendo agir em nome de um usuário e acessar os seus dados. Veja mais informações em Obter Access Token.
PKCE (Proof Key for Code Exchange)
Caso vá utilizar o fluxo Authorization code para obter o Acess Token, você poderá configurar o PKCE (Proof Key for Code Exchange), um protocolo de segurança usado com OAuth para proteger contra ataques de código malicioso durante a troca de códigos de autorização por Access Token. Ele adiciona uma camada extra de segurança gerando um verifier que é transformado em um challenge para garantir que mesmo se o código de autorização for interceptado, ele não seja útil sem o verifier original.Veja Configurar PKCE para mais informações.
Anterior
Your certifications
Learn more about Your certifications page and the Integrator ID.
Próximo
Get Access Token
Learn how to use the flows (grant types) to obtain an Access Token and access the data exposed by an API.

Navegação

Suas integraçõesDocumentaçãoReferência APIBiblioteca SDK

Recursos e Comunidade

ChangelogStatus Mercado PagoRelatório de errosSuporteNotíciasNewsletterPrograma de parcerias

Mercado Pago

Sua contaTermos de usoPolíticas de privacidade

País e idioma

Argentina
Argentina
Brasil
México
Uruguay
Colombia
Chile
Perú
Português
Español
English
Português
Mercado Pago ofrece servicios de pago y no está autorizado por el Banco Central a operar como entidad financiera. Los fondos acreditados en cuentas de pago no constituyen depósitos en una entidad financiera ni están garantizados conforme legislación aplicable a depósitos en entidades financieras. Copyright © 2025 MercadoLibre S.R.L.

Usamos cookies para mejorar tu experiencia en Mercado Pago. Consultar más en nuestro Centro de Privacidad.

¡Listo! Guardamos tus preferencias.
Algo salió mal. Por favor, vuelve a intentarlo.