Authorization 標頭中攜帶一個使用者存取權杖。如何取得該權杖,取決於你正在操作的是哪個帳戶。
兩條路徑,同一個 API
你的自有帳戶
API key → Your token你的伺服器以應用程式 API 金鑰交換一個以你的 Fluz 帳戶為範圍的權杖。客戶的帳戶
OAuth grant → Their token客戶授權你的應用程式,Fluz 會回傳一個以其帳戶為範圍的權杖。createVirtualCard 會在你的錢包建立一張卡;在客戶權杖上呼叫 createVirtualCard 會在他們的錢包建立。
路徑 1 — 你的自有帳戶
- 在控制台中建立一個應用程式,並複製其
clientId與clientSecret。 - 從你的後端,使用
clientId、clientSecret與所需範圍,對https://oauth-service.fluzapp.com/graphql呼叫generateUserAccessToken。 - 將回傳的
accessToken以Authorization: Bearer <token>附加在對 transactional graph 的每個請求上。
路徑 2 — 客戶的帳戶
當你在打造一個平台時使用此法——例如代你的使用者發卡。- 將客戶重新導向至 Fluz 的 OAuth 授權 URL,並附上你的
clientId、請求的範圍與redirect_uri。 - 客戶登入並授予你的範圍。
- Fluz 會帶著短效的授權
code導回。 - 你的伺服器以該 code 與你的應用程式憑證呼叫
generateUserAccessToken,交換為以客戶為範圍的存取權杖。 - 在到期前刷新以客戶為範圍的權杖,無需再次提示客戶。
範圍(Scopes)
權杖攜帶一組明確的範圍。依能力常見如下:
只請求你所需的最小範圍。每個範圍也有一個
REQUEST_* 變體,與核准流程搭配使用——請見 核准與請求。當你需要更廣的存取時,鑄造一個新權杖。
權杖有效期
- **Access tokens:**短效。在
expiresIn到期前刷新。 - **OAuth 客戶權杖:**可透過 OAuth 服務刷新。
- **應用程式
clientSecret:**在控制台輪替前都有效。
下一步
取得你的 API 憑證
實作路徑 1——為你的自有帳戶鑄造權杖並發出呼叫。
建立平台
實作路徑 2——透過 OAuth 授權流程連結客戶帳戶。