Authentication
magento-2Autenticação por token: admin, integração (server-to-server), cliente e convidado.
/rest/V1/integration/admin/token
POST admin/token — Obter token de administrador
Admin token
Use este fluxo quando sua integração precisa agir como um administrador (acessar pedidos de qualquer cliente, atualizar catálogo, etc).
POST /rest/V1/integration/admin/token
Body:
{
"username": "admin_user",
"password": "admin_password"
}Response: string — o token de 32 caracteres. Válido por 4 horas por padrão (ajustável em Stores > Configuration > Services > OAuth > Access Token Expiration).
Dica (PT-BR): evite usar admin token para storefront. Prefira Integrations (server-to-server) para integrações permanentes — o token não expira.
Exemplos de Código
/rest/V1/integration/customer/token
POST customer/token — Obter token de cliente
Customer token
Gera um token autenticando um cliente do storefront.
POST /rest/V1/integration/customer/token
Body: { "username": "email@example.com", "password": "..." }
O cliente pode usar esse token para listar seus próprios pedidos, atualizar dados, etc. Não tem acesso a dados de outros clientes nem a endpoints admin-only.
Exemplos de Código
admin/integrations
Integrations — tokens permanentes (server-to-server)
Server-to-server (Integrations)
Para integrações permanentes (ERP, marketplace, etc.), use Integrations ao invés de pedir login/senha de admin. Cadastro em:
- System > Extensions > Integrations > Add New Integration.
- Preencha Name, Email e Callback URL (opcional).
- Na aba API, selecione os recursos autorizados (granularidade fina).
- Após salvar, ative a integração — o Magento mostra 4 credenciais:
- Consumer Key
- Consumer Secret
- Access Token
- Access Token Secret
O Access Token é o bearer usado no header. Não expira até ser revogado.
Dica (PT-BR): use o Access Token diretamente em Authorization: Bearer <token>. O fluxo OAuth 1.0a completo (consumer key/secret + nonce) é suportado mas raramente necessário para server-to-server.