OAuth2 Đăng ký ứng dụng

Cách đăng ký ứng dụng

Trước khi bắt đầu tích hợp OAuth2, bạn cần đăng ký ứng dụng của mình trên SePay để lấy client_id và client_secret. Đây là những thông tin cần thiết để thực hiện xác thực OAuth2.

Lưu ý: Hiện tại bạn chưa thể tự tạo ứng ứng được. Bạn phải liên hệ SePay để được hỗ trợ phê duyệt và tạo ứng dụng ở tài khoản của bạn.

Các bước đăng ký ứng dụng như sau:

Đăng nhập vào tài khoản SePay của bạn.
Truy cập menu Tài khoản -> Ứng dụng OAuth.
Nhấn vào nút Tạo ứng dụng mới

Thông tin ứng dụng

Khi tạo ứng dụng mới, bạn cần điền các thông tin sau:

Thông tin	Mô tả
Tên ứng dụng	Tên hiển thị của ứng dụng. Người dùng sẽ nhìn thấy tên này khi được yêu cầu cấp quyền.
Phạm vi yêu cầu	Các quyền mà ứng dụng yêu cầu. Chỉ chọn những quyền cần thiết cho ứng dụng của bạn.
URL chuyển hướng	URL mà SePay sẽ chuyển hướng người dùng đến sau khi họ đồng ý hoặc từ chối cấp quyền.

Phạm vi (Scopes)

Khi đăng ký ứng dụng, bạn cần chọn các phạm vi (scopes) mà ứng dụng cần truy cập. Các phạm vi bao gồm:

Phạm vi	Mô tả	Quyền
`bank-account:read`	Truy cập thông tin tài khoản ngân hàng	Xem danh sách tài khoản, số dư, thông tin chi tiết từng tài khoản
`transaction:read`	Truy cập thông tin giao dịch	Xem lịch sử giao dịch, chi tiết giao dịch, đếm số lượng giao dịch
`webhook:read`	Truy cập thông tin webhook	Xem danh sách webhook, thông tin chi tiết từng webhook
`webhook:write`	Quản lý webhook	Tạo mới, cập nhật webhook
`webhook:delete`	Xóa webhook
`profile`	Truy cập thông tin người dùng	Xem thông tin cá nhân người dùng
`company`	Truy cập thông tin công ty	Xem thông tin chi tiết về công ty

Nguyên tắc quan trọng: Chỉ yêu cầu những phạm vi thực sự cần thiết cho ứng dụng của bạn. Yêu cầu quá nhiều quyền không cần thiết sẽ làm giảm tỷ lệ người dùng chấp nhận cấp quyền.

Client ID và Client Secret

Sau khi đăng ký thành công, hệ thống sẽ cấp cho bạn:

Client ID: Định danh công khai của ứng dụng
Client Secret: Khóa bí mật dùng để xác thực ứng dụng

Quan trọng: Client Secret là thông tin nhạy cảm và phải được bảo mật. Không được chia sẻ hoặc để lộ Client Secret trong mã nguồn công khai hoặc ứng dụng phía máy khách.

Client ID và Client Secret sẽ được hiển thị như hình dưới đây:

Quản lý ứng dụng

Sau khi tạo ứng dụng, bạn có thể quản lý các ứng dụng đã đăng ký tại menu Tài khoản -> Ứng dụng OAuth để quản lý các ứng dụng OAuth đã tạo

Chỉnh sửa thông tin ứng dụng: Cập nhật tên, URL chuyển hướng
Cập nhật phạm vi: Thay đổi các quyền yêu cầu
Xóa ứng dụng: Xóa hoàn toàn ứng dụng và thu hồi tất cả token đã cấp

Bước tiếp theo

Sau khi đăng ký ứng dụng thành công và lấy Client ID và Client Secret, bạn đã sẵn sàng để triển khai luồng xác thực OAuth2. Hãy tiếp tục đến trang Luồng xác thực để tìm hiểu các bước tiếp theo.

Tổng quan OAuth2

Quay lại tổng quan về OAuth2

Luồng xác thực

Tìm hiểu về luồng xác thực OAuth2