Перейти к основному содержимому

Работа с токенами

Access Token

Чтобы использовать Access Token, добавьте заголовок Authorization со значением Bearer %token%.

Пример

curl -X GET https://business.tbank.ru/openapi/api/v1/company
-H 'Authorization: Bearer t.L4c14_rCVNbXueBPC2dFJ9fNqk9BnQuRGGz2fztHpwlFGLYxWNfTI0u_CZPEd0dMWCt0kA9P6TUgToC2_BRT7g'
-H 'Content-Type: application/json'

Refresh Token

Refresh Token участвует только в партнёрской интеграции.

Чтобы получить новые Access и Refresh-токены, имея Refresh Token, используйте метод POST https://id.tbank.ru/auth/token.

  • Authorization: basic, где username и password соответствуют client-id, которые вы получили на электронную почту после регистрации. Примеры составления на разных языках.
  • Content-type: application/x-www-form-urlencoded.
  • Grant_type: refresh_token.
  • refresh_token: передайте ваш токен.

RPS (ограничение на количество запросов в секунду) при работе с Refresh Token — 20. При достижении лимита токен инвалидируется. Чтобы получить токен ещё раз, пройдите повторную авторизацию.

Инвалидация токенов

Access Token

Access Token может быть отозван в нескольких случаях:

  • Частый вход с одного устройства.
  • Вы вводите некорректный логин или пароль больше 10 раз.
  • Пользователь, выпустивший токен, больше не является сотрудником компании.
  • Пользователь деактивировал авторизацию.
  • Пользователь перестал быть клиентом TБанка.
  • Учётная запись пользователя заблокирована.
  • Токен отозвали с помощью метода POST https://id.tbank.ru/auth/revoke.

Refresh Token

Убедитесь, что ваши обращения выполняются с актуальным Refresh Token. Если вы получили ошибку invalid_grant — это значит, что Refresh Token перестал быть актуальным. Для дальнейшей работы пройдите повторную авторизацию.

Refresh Token может быть отозван в нескольких случаях:

  • Пользователь деактивировал авторизацию на странице Настройки безопасности.
  • Пользователь перестал быть клиентом TБанка.
  • Пользователь завершил активные сессии для всех устройств.
  • Учётная запись пользователя заблокирована.
  • Токен отозвали с помощью метода POST https://id.tbank.ru/auth/revoke.

Отозвать токен

Чтобы отозвать полученные токены, используйте метод POST https://id.tbank.ru/auth/revoke.

  • Authorization: basic, где username и password соответствуют client_id и client_secret, которые вы получили на электронную почту после регистрации. Примеры составления на разных языках.
  • Content-type: application/x-www-form-urlencoded.
  • Grant_type: refresh_token.
  • refresh_token: передайте ваш токен.

openapi@tinkoff.ru

APIСценарииПодключение

АО «Тинькофф Банк» использует файлы «cookie», с целью персонализации сервисов и повышения удобства пользования веб-сайтом. «Cookie» представляют собой небольшие файлы, содержащие информацию о предыдущих посещениях веб-сайта. Если вы не хотите использовать файлы «cookie», измените настройки браузера.