跳轉到主要內容
每個 Fluz API 請求都會在 Authorization 標頭中攜帶一個使用者存取權杖。如何取得該權杖,取決於你正在操作的是哪個帳戶。

兩條路徑,同一個 API

你的自有帳戶

API keyYour token你的伺服器以應用程式 API 金鑰交換一個以你的 Fluz 帳戶為範圍的權杖。

客戶的帳戶

OAuth grantTheir token客戶授權你的應用程式,Fluz 會回傳一個以其帳戶為範圍的權杖。
一旦你持有權杖,其餘的 API 皆相同。在你的權杖上呼叫 createVirtualCard 會在你的錢包建立一張卡;在客戶權杖上呼叫 createVirtualCard 會在他們的錢包建立。

路徑 1 — 你的自有帳戶

  1. 在控制台中建立一個應用程式,並複製其 clientIdclientSecret
  2. 從你的後端,使用 clientIdclientSecret 與所需範圍,對 https://oauth-service.fluzapp.com/graphql 呼叫 generateUserAccessToken
  3. 將回傳的 accessTokenAuthorization: Bearer <token> 附加在對 transactional graph 的每個請求上。
參見 API 憑證 以取得完整範例。

路徑 2 — 客戶的帳戶

當你在打造一個平台時使用此法——例如代你的使用者發卡。
  1. 將客戶重新導向至 Fluz 的 OAuth 授權 URL,並附上你的 clientId、請求的範圍與 redirect_uri
  2. 客戶登入並授予你的範圍。
  3. Fluz 會帶著短效的授權 code 導回。
  4. 你的伺服器以該 code 與你的應用程式憑證呼叫 generateUserAccessToken,交換為以客戶為範圍的存取權杖。
  5. 在到期前刷新以客戶為範圍的權杖,無需再次提示客戶。
完整教學見 建立平台

範圍(Scopes)

權杖攜帶一組明確的範圍。依能力常見如下: 只請求你所需的最小範圍。每個範圍也有一個 REQUEST_* 變體,與核准流程搭配使用——請見 核准與請求。當你需要更廣的存取時,鑄造一個新權杖。

權杖有效期

  • **Access tokens:**短效。在 expiresIn 到期前刷新。
  • **OAuth 客戶權杖:**可透過 OAuth 服務刷新。
  • **應用程式 clientSecret:**在控制台輪替前都有效。
切勿將 clientSecret 送到瀏覽器或行動客戶端。它能為你的帳戶鑄造權杖;一旦外洩,等同於洩漏你的憑證。

下一步

取得你的 API 憑證

實作路徑 1——為你的自有帳戶鑄造權杖並發出呼叫。

建立平台

實作路徑 2——透過 OAuth 授權流程連結客戶帳戶。