Credenciais
As credenciais são chaves de acesso únicas com as quais identificamos uma integração em sua conta. Elas estão diretamente vinculadas à aplicaçãoEntidade registrada no Mercado Pago que atua como um identificador para gerenciar suas integrações. Para mais informações, acesse o link abaixo.Detalhes da aplicação que você criou para essa integração e permitirão que você desenvolva seu projeto contando com as melhores medidas de segurança do Mercado Pago.
Credenciais de produção
As credenciais de produção são um conjunto de chaves que permitem receber pagamentos reais em lojas e em outras aplicações. Para obter as credenciais de produção, você deverá ativá-las preenchendo alguns dados sobre o seu negócio. Siga os passos abaixo:
- Acesse Suas integrações e selecione uma aplicação.
- Vá até a seção Credenciais de teste no menu lateral esquerdo e clique em Credenciais de teste no menu à esquerda da tela.
- Aceite a Declaração de Privacidade e os Termos e condições. Preencha o reCAPTCHA e clique em Ativar credenciais.
Ao acessar as credenciais de produção, serão exibidos os seguintes pares de credenciais: Public Key e Access Token, além de Client ID e Client Secret.
Public Key e Access Token
As credenciais Public Key e Access Token são utilizadas, não necessariamente juntas, nas integrações realizadas com as soluções de pagamento do Mercado Pago. Estão diretamente vinculadas à aplicaçãoEntidade registrada no Mercado Pago que atua como um identificador para gerenciar suas integrações. Para mais informações, acesse o link abaixo.Detalhes da aplicação que você criou, por isso cada par de credenciais é único para cada integração.
| Tipo | Descrição |
| Public Key | A chave pública da aplicação é geralmente utilizada no frontend. Permite, por exemplo, acessar informações sobre os meios de pagamento e criptografar os dados do cartão. |
| Access Token | Chave privada da aplicação que sempre deve ser utilizada no backend para gerar pagamentos. É essencial manter esta informação segura em seus servidores. |
Para obter mais informações sobre quais credenciais serão necessárias para a sua integração, consulte a documentação da solução que está sendo integrada.
Client ID e Client Secret
As credenciais Client ID e Client Secret são utilizadas, principalmente, nas integrações que possuem OAuth como protocolo para obtenção de informação privada de contas do Mercado Pago. Em particular, são utilizadas durante o fluxo (grant type) de Client Credentials, que permite acessar um recurso em nome próprio e obter um Access Token sem interação do usuário.
Também podem ser requeridas em algumas integrações mais antigas com plataformas de e-commerce.
| Tipo | Descrição |
| Client ID | Identificador único que representa sua integração. |
| Client Secret | Chave privada utilizada em alguns complementos para gerar pagamentos. É extremamente importante manter esta informação segura em seus servidores e não permitir o acesso a nenhum usuário do sistema ou intruso. |
Compartilhar credenciais
Se você estiver desenvolvendo para outra pessoa ou estiver recebendo ajuda durante a integração ou configuração de suas lojas, poderá compartilhar as credenciais de forma segura com outra conta do Mercado Pago.
Você pode compartilhar as credenciais até 10 vezes. Se você atingir este limite, deverá eliminar permissões antigas, sem impacto nas integrações já configuradas.
Além disso, se por questões de segurança você não desejar mais compartilhar suas credenciais, você pode cancelar o acceso.
A seguir, mostramos como compartilhar credenciais.
- No canto superior direito do Mercado Pago Developers, clique em Entrar e insira os dados solicitados com as informações correspondentes à sua conta do Mercado Pago. Em seguida, clique em Suas integrações localizado no canto superior direito.
- Acesse a aplicação da integração para a qual você precisa compartilhar as credenciais.
- Uma vez que você selecionar as credenciais, vá até a seção Compartilhe as credenciais com um desenvolvedor e clique em Compartilhar credenciais.
- Informe o endereço de e-mail da pessoa para quem você deseja conceder acesso. Importante: o endereço de e-mail deve, obrigatoriamente, estar vinculado a uma conta do Mercado Pago.
Renovar credenciais
Você pode renovar suas credenciais de produção por motivos de segurança ou qualquer outra razão relevante.
Para renovar um par de credenciais, siga os passos abaixo.
- Acesse suas credenciais de produção através de Suas integrações.
- Selecione o par de credenciais que você deseja renovar, podendo ser Public Key e Access Token ou Client ID e Client Secret. Tenha em mente que ambas as credenciais do par que você escolher serão renovadas.
- Clique nos três pontos localizados à direita da credencial que você deseja renovar e selecione Renovar. Clique em Renovar agora para confirmar a alteração.
Pronto, suas credenciais já foram renovadas.
Recomendações de segurança
Ao integrar as soluções do Mercado Pago, você estará lidando com dados sensíveis que precisam ser protegidos de possíveis perdas ou vulnerabilidades, como suas credenciais de acesso ao Mercado Pago, as chaves utilizadas nas suas integrações e as informações dos seus clientes.
Mostraremos como você pode otimizar a segurança de suas integrações de forma simples e rápida.
Envie o Access Token no header
Sempre que fizer chamadas à API, envie o Access Token no header ao invés de enviá-lo como query param. Essa prática aumenta a segurança, evitando que o token seja exposto a terceiros fora da sua integração.
Por exemplo, para enviar uma requisição GET ao recurso /users/me, utilize o seguinte formato:
curl
curl -H 'Authorization: Bearer {{YOUR_ACCESS_TOKEN}}' \ https://api.mercadolibre.com/users/me
Use o OAuth para gerenciar credenciais de terceiros
OAuth é um protocolo de autorização que permite o acesso seguro de aplicações a contas de usuário em serviços HTTP, sem que esse usuário precise compartilhar suas credenciais diretamente. Funciona como um intermediário que facilita o acesso controlado aos dados do usuário por aplicações de terceiros.
Para mais informações, acesse a documentação.