Saltar al contenido principal

Autenticación

Cargamos hace uso de un flujo de OAuth para realizar la autorización de los llamados de la API. Se realiza la secuencia que se observa en la figura.

Dropoff

Fig. Flujo de OAuth

Dicho flujo consta de los siguientes pasos:

  1. El shipper solicita un token de acceso: El shipper se identifica por medio de su usuario y contraseña y Cargamos solicita con estas credenciales el token de acceso ante el servidor de OAuth. El endpoint utilizado para solicitar el token de acceso es
GET {host}/v1/login?key={key}

en donde el parámetro key es suministrado al shipper durante el registro (ver la sección Tutoriales/Registro). El usuario y la contraseña son suministrados utilizando Basic. Información adicional puede encontrarse en Basic Authentication.

  1. Cargamos solicita el token de acceso al servidor de OAuth en nombre del shipper.

  2. El servidor de OAuth regresa el token de acceso, válido por 60 minutos

  3. Los tokens obtenidos son regresados al shipper. Un ejemplo de la respuesta es:

{
  "version": "1.0.0",
  "status": "OK",
  "timestamp": 1675978304058,
  "data": {
    "token": "el_token",
    "expiresIn": "3600"
  }
}

  1. El shipper hace uso de la API, suministrando el bearer token (token de acceso) vía el header del llamado. información adicional puede encontrarse en Bearer Authentication

  2. Cargamos autoriza el llamado por medio del servidor de OAuth

  3. El servidor de OAuth concede el acceso

  4. La acción es tomada y/o el recurso solicitado es retornado al shipper

En caso de requerir actualizar la contraseña, actualmente esto es posible por medio del endpoint

POST {host}/v1/password/recovery?key={key}

Dicho endpoint regresa el status 200, y posteriormente un correo con un formato similar al mostrado en la figura permitirá la asignación de una nueva contraseña siguiendo el link suministrado.

Dropoff

Fig. Correo para cambio de contraseña

Notas y Recomendaciones
  • Los tokens de acceso siempre tienen una duración de 60 minutos
  • Se recomienda rotar la contraseña frecuentemente.
Nota:

Se debe solicitar nuevos tokens de acceso sólo cuando éstos expiren. No se debe de solicitar uno nuevo cada vez que se realice un llamado (a menos de que el token ya esté expirado). No seguir esta recomendación puede incurrir en costos adicionales