Использование OAuth-токена
Используйте полученный OAuth-токен при каждом запросе к API ЮKassa. OAuth-токен нужно передавать в заголовке авторизации.
 
Формат взаимодействия
Вы можете отправлять к API ЮKassa только те запросы, для которых запросили права при регистрации приложения.
Пример запроса к API ЮKassa с использованием OAuth-токена
cURL
PHP
Python
curl https://payment.yandex.net/api/v3/payments \
  -X POST \
  -H 'Authorization: Bearer <oauth_token>' \
  -H 'Idempotence-Key: <Ключ идемпотентности>' \
  -H 'Content-Type: application/json' \
  -d '{
        "amount": {
          "value": "100.00",
          "currency": "RUB"
        },
        "capture": true,
        "confirmation": {
          "type": "redirect",
          "return_url": "https://www.merchant-website.com/return_url"
        },
        "description": "Заказ №1"
      }'
 
Неуспешные сценарии
Есть два основных неуспешных сценария, связанных с использованием токенов: что-то не так с OAuth-токеном или с правами для выполнения операции.
Если OAuth-токен не передан, он некорректный, устарел, его отозвали или если вы удалили приложение, для которого выдан этот токен, в ответ на запрос ЮKassa вернет HTTP-код 401 и ошибку
invalid_credentials
.
Если OAuth-токен корректный, но вы пытаетесь выполнить операцию, для которой не запрашивали права (например, хотите вернуть платеж, а по токену разрешено только создавать платежи), ЮKassa вернет HTTP-код 403 и ошибку
forbidden
. Такая ситуация может возникать, если вы изначально выбрали недостаточно прав или сначала получили токен, а затем отредактировали настройки приложения.
 
Что почитать еще
Процесс платежаПолучение информации о магазинеНастройка входящих уведомленийОтзыв OAuth-токена