Аутентификация
OAuth2 авторизация, получение access_token и управление сессиями API
Для работы с API GuestMe используется протокол OAuth 2.0 с типом авторизации client_credentials. Все запросы к API (кроме получения токена) требуют Bearer-токен в заголовке Authorization.
Получение доступа
Для начала работы с API вам потребуются учётные данные:
client_id— идентификатор вашего приложенияclient_secret— секретный ключ приложения- Адрес сервера API
Запросите учётные данные у менеджера GuestMe или напишите на api@guestme.ru.
Получение токена
Отправьте POST-запрос на эндпоинт /oauth2/token с заголовком Authorization, содержащим Base64-кодированную строку client_id:client_secret.
Пример запроса
curl -X POST https://backend.guestme.ru/oauth2/token -H "Authorization: Basic base64(client_id:client_secret)" -H "Content-Type: application/x-www-form-urlencoded" -d "grant_type=client_credentials&scope=ROLE_EXTERNAL_INTEGRATION"
Параметры запроса
Параметр | Значение | Описание |
|---|---|---|
|
| Тип авторизации OAuth2 |
|
| Область доступа для внешних интеграций |
Ответ
Успешный ответ содержит токен доступа:
Поле | Тип | Описание |
|---|---|---|
|
| JWT-токен для авторизации запросов |
|
| Всегда "Bearer" |
|
| Время жизни токена в секундах (599 ≈ 10 минут) |
|
|
|
Использование токена
Добавляйте токен в заголовок Authorization каждого запроса к API:
Authorization: Bearer eyJhbGciOiJIUzUxMiJ9...
Обновление токена
Токен действителен 10 минут (599 секунд). Рекомендуемая стратегия:
- Получите токен при старте приложения
- Сохраните токен и время его получения
- Перед каждым запросом проверяйте, не истёк ли токен
- Если токен истёк — запросите новый
Никогда не передавайте client_secret в клиентских приложениях. Храните учётные данные только на сервере.