Saltar al contenido principal
Cada solicitud a la API de Fluz incluye un token de acceso de usuario en el encabezado Authorization. Cómo obtienes ese token depende de en qué cuenta estás operando.

Dos caminos, una API

Tu propia cuenta

API keyTu tokenTu servidor intercambia su clave de API de la aplicación por un token con alcance a tu cuenta de Fluz.

La cuenta de un cliente

OAuth grantSu tokenUn cliente autoriza tu app, y Fluz devuelve un token con alcance a su cuenta.
Una vez que tienes un token, el resto de la API es idéntico. createVirtualCard con tu token crea una tarjeta en tu billetera; createVirtualCard con el token de un cliente la crea en la de ellos.

Camino 1 — tu propia cuenta

  1. En el panel, crea una aplicación y copia su clientId y clientSecret.
  2. Desde tu backend, llama a generateUserAccessToken en https://oauth-service.fluzapp.com/graphql con tu clientId, clientSecret y los alcances (scopes) que necesitas.
  3. Adjunta el accessToken devuelto como Authorization: Bearer <token> en cada solicitud al grafo transaccional.
Consulta Credenciales de API para ver un ejemplo completo.

Camino 2 — la cuenta de un cliente

Usa esto cuando estés creando una plataforma — por ejemplo, emitiendo tarjetas en nombre de tus usuarios.
  1. Redirige al cliente a la URL de autorización de OAuth de Fluz con tu clientId, los alcances solicitados y el redirect_uri.
  2. El cliente inicia sesión y otorga tus alcances.
  3. Fluz redirige de vuelta con un code de autorización de corta duración.
  4. Tu servidor intercambia el código por un token de acceso con alcance al cliente llamando a generateUserAccessToken con el código y las credenciales de tu aplicación.
  5. Refresca los tokens con alcance al cliente antes de que expiren sin volver a solicitar autorización al cliente.
Recorrido completo en Crea una plataforma.

Alcances (scopes)

Los tokens incluyen un conjunto explícito de alcances. Algunos comunes por capacidad: Solicita lo mínimo necesario. Cada alcance también tiene una variante REQUEST_* usada con el flujo de aprobaciones — consulta Aprobaciones y Solicitudes. Genera un nuevo token cuando necesites un acceso más amplio.

Vida útil del token

  • Tokens de acceso: de corta duración. Refresca antes de que expiresIn expire.
  • Tokens OAuth de cliente: se pueden refrescar a través del servicio de OAuth.
  • clientSecret de la aplicación: válido hasta que se rote en el panel.
Nunca envíes un clientSecret a un navegador o cliente móvil. Emite tokens para tu cuenta; filtrar uno equivale a filtrar tus credenciales.

Próximos pasos

Obtén tus credenciales de API

Camino 1 en la práctica — genera un token para tu propia cuenta y realiza una llamada.

Crea una plataforma

Camino 2 en la práctica — conecta cuentas de clientes con el flujo de concesión de OAuth.