ym88659208ym87991671
Тестирование | Документация для разработчиков

Тестирование

Обновлено 30 сентября 2025

Для тестирования Sber API доступен интеграционный стенд. Настройки для подключения предоставляет поддержка supportdbo2@sberbank.ru после подписания договора на Sber API. На тестовом стенде можно проверить все описанные в документации сценарии перед переходом на промышленный стенд.

Для доступа к Sber API на тестовом стенде используйте следующие URLs:

Процесс тестирования

1. Получение настроек

После заключения договора техническая поддержка supportdbo2@sberbank.ru направит тестовые настройки на почту ответственного за интеграцию.

В настройках содержится:

  • client_id и client_secret
  • Доступные scope (области доступа)
  • Шаблон обращения в поддержку
  • Данные тестовых учетных записей пользователей

2. Получение TLS-сертификата

Необходимо получить и настроить TLS-сертификат для тестового стенда.

3. Тестирование сценариев

  • Реализуйте и протестируйте механизм авторизации (требуется для всех сервисов Sber API)
  • Протестируйте сценарии и методы выбранного сервиса API

Описание доступных сервисов и их функциональности приведено в отдельном разделе документации.

4. Соблюдайте стайлгайд и подготовьте демонстрационное видео

Для сервисов: "Платформы", "СберБизнес ID", "Моментальные платежи", "Кредит в корзине" необходимо соблюдать стайлгайд, в котором установлены правила по оформлению и размещению кнопок на сайте.

Своевременно обновляйте необходимые параметры

ПараметрОписаниеСрок жизниСпособ полученияПримечания и ссылки
Authorization CodeРекомендация:
Это одноразовый код со сроком жизни 2 минуты.
Механизм его получения инициируется пользователем (логин в СберБизнес ID). Система должна быть готова немедленно его использовать.

Техническая реализация: Серверная часть приложения, обрабатывающая redirect_uri, должна быть высокодоступной и иметь минимальную задержку. Получив код, она должна немедленно (в течение секунд, а не минут) выполнить запрос на /oauth/token для его обмена на токены. Не ставить в очередь на асинхронную обработку — он может успеть “протухнуть”.
2 минутыТолько через авторизацию по ссылкеПользователь проходит аутентификацию в СберБизнес ID, и браузер перенаправляется на ваш redirect_uri с кодом в параметрах.

Спецификация: Получение кода авторизации
Access TokenРекомендация: Реализуйте автоматический механизм обновления по истечении срока его действия (60 минут) или при получении ошибки 401 Unauthorized. Необходимо обеспечить безопасное хранение.

Техническая реализация:

Кэширование с проверкой срока: Сохраняйте токен вместе с временем его получения. Перед каждым вызовом API проверяйте, не истек ли срок его жизни (например, если прошло >55 минут).

Авто-обновление по ошибке: Реализуйте перехватчик, который при получении 401 ошибки от Банка автоматически:
Использует имеющийся refresh_token для запроса нового access_token.
Повторяет исходный запрос с новым токеном.
Для пользователя этот процесс должен быть невидим.

Не используйте долгоживущий токен из ЛК в ПРОМ: Токен на 30 дней из Личного кабинета — это исключение, предоставляемое для удобства разработки. Как только вы обновите токен полученный в ЛК с помощью методов API, он превращается в стандартный 60 минутный токен.
60 минут
(при получении через API)
30 дней
(при выпуске в ЛК)
1. Через API (в ответ на запрос с authorization code)
2. В Личном кабинете Sber API
Токен для доступа к API.

Спецификация: Получение токенов доступа

Личный кабинет: инструкция
Refresh TokenРекомендация: Это ключ к долгосрочной работе без участия пользователя. Необходимо обеспечить безопасное хранение.

Техническая реализация:

Безопасное хранение: Храните его в зашифрованном виде в надежном хранилище. Не логируйте его и не коммитьте в код.

Жизненный цикл (180 дней с последнего использования): Срок жизни refresh_token обновляется каждый раз, когда вы его успешно используете. Это значит, что при каждом обновлении пары токенов вы получаете новый refresh_token с новым "счетчиком" в 180 дней.

Постоянная валидность: Необходимо обновлять пару токенов хотя бы раз в 180 дней.

Привязка к пользователю: Четко связывайте пару access/refresh token с учетной записью пользователя в вашей системе, чтобы при запросе знать, чьи токены обновлять.
180 дней (через API и из ЛК)1. Через API (в ответ на запрос с authorization code)
2. В Личном кабинете Sber API
Используется для получения новой пары access/refresh_token. Истекает через 180 дней с момента последнего использования.

Спецификация: Обновление access_token, refresh_token

Личный кабинет: инструкция
Client SecretРекомендация: Это самый критичный параметр. Без Client Secret невозможна процедура получения/обновления токенов. Реализуйте строгий процесс обновления до истечения срока его действия (40 дней). Необходимо обеспечить безопасное хранение.

Техническая реализация:

Установите напоминание на 35-й день жизни текущего секрета. Это даст запас в 5 дней на решение возможных проблем. Дополнительно Банк оповещает о окончании client_secret с помощью sms и письма на почту уполномоченного лица по договору.

Автоматизация через API: Предпочтительный способ. Напишите скрипт, который через API автоматически генерирует новый секрет каждый 38й день.

Ротация через ЛК или поддержку: Если автоматизация через API невозможна, добавьте в план ручное обновление через Личный кабинет по напоминанию. Способ через поддержку — аварийный, на случай если Client Secret истек, а в ЛК доступа нет.

Программный код: не храните client_secret в коде приложения, конфигурационных файлах (особенно в git) или переменных окружения на машинах разработчиков. Только в специализированных защищенных хранилищах.
40 дней (через API и из ЛК)1. Через API
2. В Личном кабинете Sber API
3. Через запрос с почты уполномоченного лица на поддержку
Нельзя передавать третьим лицам. Необходимо регулярно обновлять.

Спецификация: Обновление Client Secret

Личный кабинет: инструкция

Почта поддержки: supportdbo2@sberbank.ru

Заметили ошибку?

Выделите текст и нажмите Ctrl + Enter, чтобы сообщить нам о ней

ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей. Вы можете запретить сохранение cookie в настройках своего браузера.