Authorization 头中携带一个用户访问令牌。你如何获取该令牌取决于你正在操作哪个账户。
两条路径,同一个 API
你自己的账户
API key → Your token你的服务器用其应用程序 API 密钥交换获得一个限定到你 Fluz 账户作用域的令牌。客户的账户
OAuth grant → Their token客户授权你的应用,Fluz 返回一个限定到其账户作用域的令牌。createVirtualCard 会在你的钱包上创建卡;客户令牌调用 createVirtualCard 会在他们的钱包上创建。
路径 1 — 你自己的账户
- 在控制台中创建一个应用,并复制其
clientId和clientSecret。 - 从你的后端,使用你的
clientId、clientSecret以及所需的作用域,调用https://oauth-service.fluzapp.com/graphql上的generateUserAccessToken。 - 将返回的
accessToken作为Authorization: Bearer <token>附加在对事务图的每个请求上。
路径 2 — 客户的账户
在你构建一个平台时使用此路径——例如代表你的用户发行卡片。- 将客户重定向至 Fluz 的 OAuth 授权 URL,携带你的
clientId、请求的作用域以及redirect_uri。 - 客户登录并授予你的作用域。
- Fluz 重定向返回,并带有一个短期有效的授权
code。 - 你的服务器使用该 code 和你的应用凭证调用
generateUserAccessToken,以换取一个限定到客户作用域的访问令牌。 - 在到期前刷新限定到客户作用域的令牌,而无需再次提示客户。
作用域(Scopes)
令牌携带一组明确的作用域。按能力常见的有:
只请求你所需的最小权限。每个作用域也有一个用于审批流程的
REQUEST_* 变体——参见 Approvals & Requests。当你需要更广泛的访问时,请铸造一个新令牌。
令牌生命周期
- 访问令牌: 短期有效。在
expiresIn到期前刷新。 - OAuth 客户令牌: 可通过 OAuth 服务刷新。
- 应用程序
clientSecret: 在控制台轮换前一直有效。
后续步骤
获取你的 API 凭证
路径 1 的实践——为你自己的账户铸造令牌并发起一次调用。
构建一个平台
路径 2 的实践——通过 OAuth 授权流程连接客户账户。