OAuth 2.1
Scopes OAuth
Los 17 scopes disponibles y qué acceso otorga cada uno.
Los scopes definen los permisos que tu app solicita al comerciante en el momento del consentimiento. Siempre solicita el mínimo de scopes que tu integración necesita.
Tabla de scopes
| Scope | Acceso que otorga |
|---|---|
read:products | Listar y leer productos, variantes, imágenes y metadatos |
write:products | Crear, actualizar y eliminar productos y variantes |
read:categories | Listar y leer categorías del catálogo |
write:categories | Crear, actualizar y eliminar categorías |
read:inventory | Leer niveles de inventario por variante y ubicación |
write:inventory | Actualizar cantidades de inventario |
read:discounts | Listar y leer descuentos, cupones y promociones |
write:discounts | Crear, actualizar y eliminar descuentos |
read:orders | Listar y leer pedidos, líneas de pedido y envíos |
write:orders | Actualizar estado de pedidos, añadir notas, procesar devoluciones |
read:customers | Listar y leer clientes, direcciones y historial de pedidos |
write:customers | Crear y actualizar clientes y direcciones |
read:store | Leer información general de la tienda (nombre, moneda, idioma, etc.) |
write:store | Actualizar configuración general de la tienda |
read:analytics | Acceder a métricas de ventas, visitas y conversión |
read:webhooks | Listar webhooks configurados en la tienda |
write:webhooks | Crear, actualizar y eliminar webhooks |
Cómo se muestran al usuario
En la pantalla de consentimiento, los scopes se agrupan en categorías legibles que describen el área de la tienda afectada:
- Tu catálogo —
read:products,write:products,read:categories,write:categories,read:inventory,write:inventory,read:discounts,write:discounts - Tus ventas —
read:orders,write:orders - Tus clientes —
read:customers,write:customers - Configuración de tu tienda —
read:store,write:store - Tus reportes —
read:analytics - Automatizaciones —
read:webhooks,write:webhooks
Buenas prácticas
- Mínimo privilegio — solo solicita los scopes que tu integración usa activamente. Los scopes adicionales generan desconfianza en el usuario.
- Scopes de lectura vs. escritura — si tu app solo consulta datos, no solicites los scopes
write:*. - Ampliar scopes — si más adelante necesitas scopes adicionales, inicia un nuevo flujo de autorización. El usuario deberá volver a consentir.
- Scopes en el registro — declara en el campo
scopedel registro del cliente el conjunto máximo de scopes que tu app puede solicitar.
Scopes en el access token
El campo scope de la respuesta del token endpoint y de introspección refleja exactamente qué scopes fueron concedidos por el usuario — que puede ser un subconjunto de lo que solicitaste si el usuario denegó alguno.
{
"active": true,
"scope": "read:products read:orders",
...
}Valida siempre que el token incluye el scope requerido antes de intentar la operación.