Autentifikacija

Programa suteikia jums Client ID ir Secret Key, kurių reikia norint sukurti autentifikuotą OAuth2 sesiją, kurią galite naudoti bendraujant su Wink ir TripPay API.

Štai žingsniai, kaip sukurti autentifikuotą sesiją.

1 žingsnis. Gaukite prieigos raktą testavimo arba mūsų gamybos aplinkoje:

Tikėtina, kad naudosite patikimą OAuth2 biblioteką savo programavimo kalbai, kuri atliks visą sudėtingą darbą už jus. Mūsų pavyzdžiai parodys paprasčiausią naudojimą iš komandinės eilutės naudojant curl.

Testavimo aplinka

curl -X POST https://staging-iam.wink.travel/oauth2/token \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials" \
  -d "client_id=<YOUR_CLIENT_ID>" \
  -d "client_secret=<YOUR_SECRET_KEY>"

Gamybos aplinka

curl -X POST https://iam.wink.travel/oauth2/token \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials" \
  -d "client_id=<YOUR_CLIENT_ID>" \
  -d "client_secret=<YOUR_SECRET_KEY>"

Tai grąžins prieigos raktą kartu su kitais OAuth2 atsakymo duomenimis:

{
  "access_token": "abc123"
}

Kai kviesite bet kurį iš mūsų galinių taškų, įtraukite šiuos antraštės laukus:

Wink-Version = 2.0 Naujausia - Žr. mūsų API dokumentaciją dėl kitų galimų versijų.
Authorization = Bearer ${access_token} Įterpkite savo prieigos raktą.

Leidimai (Scopes)

Leidimas (scope) yra teisė, kurią turi jūsų prieigos raktas. Kai prašote rakto, perduodate tarpais atskirtą leidimų sąrašą scope parametre, ir raktas gali pasiekti tik tas sritis, kurias apima šie leidimai. Naudojant client_credentials grant tipą, leidimus nustatote savo rakto užklausoje — žr. aukščiau pateiktus curl pavyzdžius ir Postman vadovą.

Leidimai vadinami section.action, kur veiksmas yra vienas iš:

read — peržiūrėti išteklius (saugūs GET užklausos)
write — kurti ir atnaujinti išteklius (POST / PUT / PATCH)
remove — trinti išteklius (DELETE)

Wink grupuoja leidimus pagal funkcines sritis. Prašykite tik tų leidimų, kurių reikia jūsų integracijai:

Leidimų grupė	Leidimai	Ką jie atveria	Rizika
Paskyra	`account.read` `account.write` `account.remove`	Valdyti subjektus, komandos narius, nustatymus, programas	Žema–Vidutinė
Inventorius	`inventory.read` `inventory.write` `inventory.remove`	Objektai, kambarių tipai, kainų planai, kainos, priedai, prieinamumas, veiklos, lankytinos vietos	Žema–Vidutinė
Rezervavimas	`booking.read` `booking.write` `booking.remove`	Paieška, peržiūra, kūrimas, atšaukimas ir grąžinimai; atsiskaitymas; atšaukimo taisyklės	Žema–Vidutinė
Marketingas	`marketing.read` `marketing.write` `marketing.remove`	Kampanijos, priedai, pardavimo kanalai, WinkLinks, valdomas socialinis, lojalumas	Žema–Vidutinė
Turinys	`content.read` `content.write` `content.remove`	Objekto aprašymai, atsiliepimai, medija, žemėlapiai, žalias indeksas	Žema–Vidutinė
Analitika	`analytics.read` `analytics.write` `analytics.remove`	Ataskaitos ir analizė — pajamos, lyderių lentelės	Žema–Vidutinė
Integracijos	`integrations.read` `integrations.write` `integrations.remove`	Kanalų valdytojai, išorinės rezervavimo sistemos, Google Hotel, pranešimų galiniai taškai, rezervavimo sinchronizavimas	Žema–Vidutinė
Mokėjimai	`payment.read` `payment.write` `payment.remove`	Mokėjimų apdorojimas, Stripe, Revolut, išmokos, prenumeratos	Vidutinė–Aukšta
Apskaita	`accounting.read` `accounting.write` `accounting.remove`	Apskaita, pinigų išėmimo žurnalas, suderinimas	Vidutinė–Aukšta
MCP	`mcp.read` `mcp.write` `mcp.remove`	Atveria MCP transportą (`/mcp`) AI agentams	Žema–Vidutinė

Keletas dalykų, kuriuos verta atsiminti:

Prašykite minimumą. Prašykite tik tų leidimų, kuriuos jūsų integracija iš tikrųjų naudoja — raktas su platesnėmis teisėmis, nei reikia, nutekėjus gali sukelti didesnę žalą.
Nežinomi leidimai atmetami. Prašymas dėl leidimo, kuriam jūsų programa nėra registruota arba kuris neegzistuoja, nepavyksta išduodant raktą.
mcp.* yra tik AI agentų klientams. Jis reikalingas atidaryti MCP transportą; įprastiems REST API kvietimams jo nereikia. Žr. Model Context Protocol.