Authorization. Cómo obtienes ese token depende de en qué cuenta estás operando.
Dos caminos, una API
Tu propia cuenta
API key → Tu tokenTu servidor intercambia su clave de API de la aplicación por un token con alcance a tu cuenta de Fluz.La cuenta de un cliente
OAuth grant → Su tokenUn cliente autoriza tu app, y Fluz devuelve un token con alcance a su cuenta.createVirtualCard con tu token crea una tarjeta en tu billetera; createVirtualCard con el token de un cliente la crea en la de ellos.
Camino 1 — tu propia cuenta
- En el panel, crea una aplicación y copia su
clientIdyclientSecret. - Desde tu backend, llama a
generateUserAccessTokenenhttps://oauth-service.fluzapp.com/graphqlcon tuclientId,clientSecrety los alcances (scopes) que necesitas. - Adjunta el
accessTokendevuelto comoAuthorization: Bearer <token>en cada solicitud al grafo transaccional.
Camino 2 — la cuenta de un cliente
Usa esto cuando estés creando una plataforma — por ejemplo, emitiendo tarjetas en nombre de tus usuarios.- Redirige al cliente a la URL de autorización de OAuth de Fluz con tu
clientId, los alcances solicitados y elredirect_uri. - El cliente inicia sesión y otorga tus alcances.
- Fluz redirige de vuelta con un
codede autorización de corta duración. - Tu servidor intercambia el código por un token de acceso con alcance al cliente llamando a
generateUserAccessTokencon el código y las credenciales de tu aplicación. - Refresca los tokens con alcance al cliente antes de que expiren sin volver a solicitar autorización al cliente.
Alcances (scopes)
Los tokens incluyen un conjunto explícito de alcances. Algunos comunes por capacidad:
Solicita lo mínimo necesario. Cada alcance también tiene una variante
REQUEST_* usada con el flujo de aprobaciones — consulta Aprobaciones y Solicitudes. Genera un nuevo token cuando necesites un acceso más amplio.
Vida útil del token
- Tokens de acceso: de corta duración. Refresca antes de que
expiresInexpire. - Tokens OAuth de cliente: se pueden refrescar a través del servicio de OAuth.
clientSecretde la aplicación: válido hasta que se rote en el panel.
Próximos pasos
Obtén tus credenciales de API
Camino 1 en la práctica — genera un token para tu propia cuenta y realiza una llamada.
Crea una plataforma
Camino 2 en la práctica — conecta cuentas de clientes con el flujo de concesión de OAuth.