iFood Developer

Buscar en la documentación

Módulos

Authentication

Merchant

Catalog

Order

Events

Logistics

Shipping

Review

Financial

Soluciones

Use este flujo cuando la aplicación:

Es pública y accesible por internet
Necesita autorización explícita del propietario de la tienda

Los tokens no pueden exceder 8.000 caracteres. Garantiza que tu integración proporcione almacenamiento adecuado para estos tokens.

Cómo funciona

El propietario de la tienda se autentica en el Portal del Socio
El propietario autoriza tu aplicación a acceder a recursos específicos de la tienda
Tu aplicación recibe el permiso para interactuar con los datos de la tienda autorizada

Este método garantiza que solo aplicaciones aprobadas por el propietario accedan a los recursos de la tienda.

Paso a paso

Consulta el paso a paso de todo el proceso de código de autorización y token de acceso:

Obtén un código de vínculoHaz una petición a la API de Autenticación. Este código funciona como identificador temporal de la aplicación.
Almacena el código verificadorLa API retorna un código verificador junto con el código de vínculo. Almacena este código con seguridad — lo necesitarás para obtener el token de acceso.
Comparte el código con el usuario Muestra el código de vínculo y la URL del Portal del Socio al usuario. El propietario de la tienda debe insertar este código en el Portal del Socio para autorizar la aplicación.
Recolecta el código de autorización Después de la autorización en el Portal, el propietario recibe un código de autorización que debe proporcionar a tu aplicación.
Solicita el token de acceso Envía el código de autorización (proporcionado por el usuario) y el código verificador (obtenido en el paso 2) a la API de Autenticación.
Almacena los tokens recibidos La API proporciona un token de acceso y un refresh token. Almacénalos con seguridad.
Usa el token en las peticiones Incluye el token de acceso en las peticiones a las APIs de iFood usando autenticación HTTP del tipo Bearer.
Renueva el token antes de la expiraciónActualiza el token llamando la API de token con:

grantType: refresh_token
Credenciales: clientId y clientSecret
El refresh token obtenido en el paso 6

Revocación de acceso: Solo el usuario que autorizó la aplicación puede revocar el acceso.

Referencia de la API

POST `/oauth/userCode`

Descripción Solicita un código de usuario para vincular aplicaciones en el Portal del Socio y otorgar permisos para acceder a recursos del comerciante. Este código es esencial para iniciar el flujo OAuth de autorización.cURL de ejemplo

curl -X POST "https://merchant-api.ifood.com.br/authentication/v1.0/oauth/userCode" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "clientId=YOUR_CLIENT_ID"

Campos retornados — Éxito (200)

Campo	Descripción	Ejemplo
`userCode`	Código de usuario que vincula la aplicación al Portal del Socio. Muestra al usuario para que lo inserte en el Portal del Socio.	`HJLX-LPSQ`
`authorizationCodeVerifier`	Código de verificación adicional a usar al solicitar el token de acceso. Mantén este código hasta que se emita el token de acceso.	`test123`
`verificationUrl`	URL del Portal del Socio que permite a los usuarios insertar el código de usuario y otorgar acceso a la aplicación. Muestra al usuario.	`https://portal.ifood.com.br/apps/code`
`verificationUrlComplete`	URL de verificación completa con el código de usuario como parámetro de consulta. Útil para entornos que permiten hacer clic y abrir un navegador.	`https://portal.ifood.com.br/apps/code?c=HJLX-LPSQ`
`expiresIn`	Expiración del código de usuario en segundos. El código es válido por 10 minutos.	`600`

POST `/oauth/token`

Descripción Solicita un nuevo token de acceso para acceder a recursos de la API. Por defecto, el token expira en 6 horas. Para aplicaciones distribuidas, admite dos tipos de grant: authorization_code y refresh_token.cURL de ejemplo — Authorization Code

curl -X POST "https://merchant-api.ifood.com.br/authentication/v1.0/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grantType=authorization_code&clientId=YOUR_CLIENT_ID&clientSecret=YOUR_CLIENT_SECRET&authorizationCode=AUTH_CODE&authorizationCodeVerifier=CODE_VERIFIER"

cURL de ejemplo — Refresh Token

curl -X POST "https://merchant-api.ifood.com.br/authentication/v1.0/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grantType=refresh_token&clientId=YOUR_CLIENT_ID&clientSecret=YOUR_CLIENT_SECRET&refreshToken=REFRESH_TOKEN"

Parámetros de solicitud

Parámetro	Requerido	Descripción
`grantType`	Sí	Tipo de grant OAuth. Para aplicaciones distribuidas: `authorization_code`, `refresh_token`
`clientId`	Sí	Identificador del cliente
`clientSecret`	Sí	Secreto del cliente
`authorizationCode`	Solo para `authorization_code`	Código de autorización retornado después de la autorización de la aplicación
`authorizationCodeVerifier`	Solo para `authorization_code`	Código verificador retornado en la solicitud de código de usuario. La solicitud fallará si este código no está presente o no coincide con el retornado.
`refreshToken`	Solo para `refresh_token`	Token de refresh retornado después de solicitar un token de acceso. Disponible solo en aplicaciones distribuidas.

Campos retornados — Éxito (200)

Campo	Descripción	Ejemplo
`accessToken`	JWT que representa el token de acceso	eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzUxMiJ9.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.lYqdxjHoOksq8COqJ-VZxzd524MhVzH7hkMfp5zGTpqzp26z5XJwOPHAy7L6oyagUgRfxntKeu0Up_JHgJ-Vr0h5Y9wY4XHcK1yxpFXFB5f5ilGDB0hVN3UGa4GBqeVpCbAPQUl4VhbF2byeL9PuO4TfTZmoWyuec9-xEH_nbHg
`type`	Tipo del token. Actualmente, el único tipo soportado es `bearer`	`bearer`
`expiresIn`	Tiempo de expiración del token en segundos	`21600`

Campos retornados — Error Unauthorized (401)

Campo	Descripción	Ejemplo
`error.code`	Código de error para solicitudes no autorizadas	`Unauthorized`
`error.message`	Descripción de error legible	`Bad credentials`

Campos retornados — Error Internal Server (500)

Campo	Descripción	Ejemplo
`error.code`	Código de error para errores internos	`InternalServerError`
`error.message`	Descripción de error legible	`Unexpected error`

Implementación práctica

El video abajo demuestra la implementación del flujo de credencial de aplicación para aplicaciones distribuidas:

¿Esta página fue útil?

Evalúa tu experiencia en el nuevo portal de desarrolladores:

En esta página

Implementación práctica

Contenido leído0%