Hướng dẫn cách xác thực quyền sở hữu (Access token trên OA)
Back to ezyoaGiới thiệu
Để tích hợp và tương tác hiệu quả với Zalo Official Account (OA), việc lấy Access Token là bước quan trọng giúp ứng dụng của bạn có thể thực hiện các hành động như gửi tin nhắn, lấy thông tin người dùng, và nhiều chức năng khác. Quy trình lấy Access Token tuân theo chuẩn xác thực OAuth 2.0 với PKCE, đảm bảo tính bảo mật và an toàn cho hệ thống.Qui trình thực hiện
Tạo ID ứng dụng mới



Bạn cần truy cập vào trang quản lý ứng dụng Zalo: https://developers.zalo.me/.Nếu bạn chưa có ứng dụng, cần tiến hành Tạo ID ứng dụng như sau:
- Tên hiển thị: Tên ứng dụng (ví dụ: ungdung7).
- Danh mục: Chọn danh mục phù hợp (ví dụ: Du lịch, Tài chính, Trò chơi, v.v.).
- Mô tả: Mô tả ngắn gọn chức năng của ứng dụng.
- Đồng ý với điều khoản và click vào nút
Tạo ID ứng dụng
.
Lưu ý: Tên ứng dụng và mô tả cần rõ ràng để dễ được Zalo xét duyệt.
Xác thực domain website
Vào phần Xác thực domain trong cài đặt ứng dụng cụ thể trong mục API và cấp quyền.Thêm bản ghi DNS TXT vào domain và click vào nút xác thực.Tiếp tục, copy dòng thẻ được cấp và dán vào phần head của website (hoặc vào phần Bổ sung đầu trang trong giao diện cài đặt web của trang quản trị).Sau đó, click nút "Lưu" để kiểm tra, khi thành công sẽ hiển thị popupXác thực thành công
.






Thiết lập đường dẫn yêu cầu cấp quyền
Sau khi, xác thực thành công chuyển sang mụcOfficial Account
trong "Sản phẩm" để thiết lập đường dẫn yêu cầu cấp quyền chọn Thiết lập chung
. Vào cấu hình Official Account Callback Url chính xác (ví dụ: https://luatvicca.vn/oa/ZALO/auth-callback).Tiếp tục, tại mục Code Challenge bạn cần copy đường dẫn tại trang quản trị trong tính năng EzyOA của mục chi tiết các dịch vụ OA và dán vào ô Code Challenge rồi click nút Lưu
để cập nhật đường dẫn yêu cầu cấp quyền.Ví dụ, hiển thị như giao diện dưới đây:




Gửi yêu cầu cấp quyền OA và Lấy Access Token
Truy cập Đường dẫn yêu cầu cấp quyền vừa copy( ví dụ:https://oauth.zaloapp.com/v4/oa/permission?app_id=2894799309953282105&redirect_uri=https%3A%2F%2Fluatvicca.vn%2Foa%2FZALO%2Fauth-callback) . Đăng nhập tài khoản Zalo OA bằng cách quét QR code.Nếu ứng dụng bị từ chối (error_code -14029) → Cần kiểm tra lại thông tin ứng dụng hoặc chờ admin duyệt OA.
Sau khi ,OA admin chấp nhận cấp quyền, truy cập lại phần Chi tiết dịch vụ OA trên hệ thống và click vào nút Lấy access token
để hệ thống tự động lấy về Access Token mới.


Lưu ý
- Access Token có thể hết hạn, bạn cần refresh định kỳ.
- Phải giữ bảo mật Access Token, không chia sẻ công khai.
- Nếu thay đổi callback URL hoặc quyền API → cần thực hiện cấp quyền lại từ đầu