Chuyển tới nội dung chính

Social

Social APISDKOAuth 2.0Social Plugin

Mới bắt đầu với Zalo Social?

Bắt đầu với Hướng dẫn Social API để tích hợp tính năng đăng nhập và hồ sơ người dùng trong vài phút.

Social API

Truy cập các tính năng xã hội của Zalo một cách lập trình thông qua các API RESTful. Xác thực người dùng, lấy thông tin hồ sơ và tích hợp các tương tác xã hội vào ứng dụng của bạn.

Ví dụ về điểm cuối API
GET https://graph.zalo.me/v2.0/me
access_token: {access_token}

Response:
{
  "id": "1234567890",
  "name": "Nguyen Van A",
  "picture": {
    "data": {
      "url": "https://..."
    }
  },
  "gender": "male",
  "birthday": "01/01/1990"
}

SDK

SDK chính thức để đơn giản hóa việc tích hợp Zalo Social vào ứng dụng của bạn trên nhiều nền tảng.

SDK Android

SDK Android gốc với hỗ trợ Kotlin và Java. Tích hợp liền mạch đăng nhập xã hội và chia sẻ trong các ứng dụng Android.

SDK iOS

SDK iOS gốc với hỗ trợ Swift và Objective-C. Xây dựng các tính năng xã hội cho các ứng dụng iPhone và iPad.

Luồng xác thực

Hiểu cách hoạt động của xác thực OAuth 2.0 với API xã hội Zalo.

1
Yêu cầu ủy quyền người dùng

Chuyển hướng người dùng đến điểm cuối ủy quyền Zalo với thông tin xác thực ứng dụng của bạn và các quyền yêu cầu.

https://oauth.zaloapp.com/v4/permission?
app_id=APP_ID&redirect_uri=REDIRECT_URI&state=STATE
2
Người dùng cấp quyền

Người dùng đăng nhập và chấp thuận các quyền yêu cầu trên trang ủy quyền Zalo.

Người dùng xem xét và chấp nhận các phạm vi quyền
3
Nhận mã ủy quyền

Zalo chuyển hướng trở lại ứng dụng của bạn với mã ủy quyền.

YOUR_REDIRECT_URI?code=AUTH_CODE&state=STATE
4
Đổi lấy mã truy cập

Đổi mã ủy quyền lấy mã truy cập bằng cách sử dụng bí mật ứng dụng của bạn.

POST https://oauth.zaloapp.com/v4/access_token
5
Truy cập tài nguyên được bảo vệ

Sử dụng mã truy cập để gọi các API xã hội Zalo và lấy dữ liệu người dùng.

access_token: ACCESS_TOKEN
Các thực tiễn bảo mật tốt nhất
Luôn xác thực tham số trạng thái để ngăn chặn các cuộc tấn công CSRF.
Lưu bí mật ứng dụng một cách an toàn trên máy chủ, không bao giờ tiết lộ trong mã phía khách.
Sử dụng HTTPS cho tất cả các URI chuyển hướng và cuộc gọi API.
Triển khai logic làm mới mã để xử lý các mã truy cập đã hết hạn.