23 sierpnia 2025 wprowadzimy dwie zmiany w procesie autoryzacji w Allegro API:

• przestaniemy wspierać metodę GET podczas generowania tokenów w punkcie końcowym: https://allegro.pl/auth/oauth/token,
• dla metody POST będziemy wymagać przekazywania danych wyłącznie w body.

Jak było dotychczas?

Podczas autoryzacji, gdy aplikacja zgłaszała się po token wykonując żądanie HTTP na adres: https://allegro.pl/auth/oauth/token, prócz metody POST, akceptowaliśmy również metodę GET, gdzie dane mogły zostać przesłane jako parametry zapytania. Ten sposób przekazywania danych w toku autoryzacji, używany był również w kontekście metody POST.

Co zmienimy?

23 sierpnia 2025 całkowicie przestaniemy wspierać metodę GET na końcowym etapie procesu autoryzacji https://allegro.pl/auth/oauth/token. Jeśli działasz w ten sposób, jak najszybciej wykonaj migrację na metodę POST, gdzie parametry musisz wysyłać w treści żądania.

Przykładowy request (dla authorization code):

curl -X POST \
  https://allegro.pl/auth/oauth/token \
  -H 'Authorization: Basic base64(clientId:secret)' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'grant_type=authorization_code&code={code}&redirect_uri=http://exemplary.redirect.uri'

Szczegółowe instrukcje i przykłady znajdziesz w naszym poradniku.

Dlaczego wprowadzamy zmiany?

Ta zmiana jest kluczowa dla ochrony poufnych informacji przesyłanych podczas procesu generowania tokenów. Dzięki użyciu metody POST, dane uwierzytelniające klienta i inne parametry są wysyłane w treści żądania, a nie w adresie URL, który może być łatwiej rejestrowany lub ujawniany.