Используйте полученный OAuth-токен при каждом запросе к API ЮKassa. OAuth-токен нужно передавать в заголовке авторизации.
Вы можете отправлять к API ЮKassa только те запросы, для которых запросили права при регистрации приложения.
Пример запроса к API ЮKassa с использованием OAuth-токена
curl https://api.yookassa.ru/v3/payments \ -X POST \ -H 'Authorization: Bearer <oauth_token>' \ -H 'Idempotence-Key: <Ключ идемпотентности>' \ -H 'Content-Type: application/json' \ -d '{ "amount": { "value": "100.00", "currency": "RUB" }, "capture": true, "confirmation": { "type": "redirect", "return_url": "https://www.example.com/return_url" }, "description": "Заказ №1" }'
Есть два основных неуспешных сценария, связанных с использованием токенов: что-то не так с OAuth-токеном или с правами для выполнения операции.
Если OAuth-токен не передан, он некорректный, устарел, его отозвали или если вы удалили приложение, для которого выдан этот токен, в ответ на запрос ЮKassa вернет код HTTP 401 и ошибку
invalid_credentials
.Если OAuth-токен корректный, но вы пытаетесь выполнить операцию, для которой не запрашивали права (например, хотите вернуть платеж, а по токену разрешено только создавать платежи), ЮKassa вернет код HTTP 403 и ошибку
forbidden
. Такая ситуация может возникать, если вы изначально выбрали недостаточно прав или сначала получили токен, а затем отредактировали настройки приложения.Коды ответа (состояния) HTTPПолучение информации о магазинеВходящие уведомленияОтзыв OAuth-токена