【平臺介紹】
餓了么商家開放平臺作為一個服務(wù)集成平臺,致力于滿足商戶的多樣經(jīng)營性需求,提供合作伙伴更多的平臺資源,服務(wù)商戶接入,提供給商戶豐富的經(jīng)營能力。
同時,開放平臺將通過提供一系列非業(yè)務(wù)性的,例如測試工具、API調(diào)試工具、服務(wù)監(jiān)控告警、日志分析統(tǒng)計等解決方案,讓開發(fā)者專注于業(yè)務(wù)系統(tǒng)的開發(fā),降低開發(fā)者的接入成本。
【授權(quán)說明】
應(yīng)用接入開放平臺需要獲取商戶的隱私數(shù)據(jù)(如賬號、商品、訂單、店鋪信息等),為保證商戶數(shù)據(jù)的安全與隱私,應(yīng)用需要取得商戶的授權(quán),即獲取訪問商戶數(shù)據(jù)的授權(quán)令牌 Access Token。因此,應(yīng)用需要引導商戶完成使用餓了么商家?guī)ぬ枴暗卿浭跈?quán)”的流程。該流程采用國際通用的OAuth2.0標準協(xié)議作為商戶身份驗證與授權(quán)協(xié)議。
具體可參考:餓了么接口文檔
【獲取方式】
OAuth 2.0的運行流程如下圖,摘自RFC 6749。
步驟如下:
(A)商戶打開開發(fā)者的應(yīng)用客戶端以后,應(yīng)用要求商戶給予授權(quán)。
(B)商戶同意給予應(yīng)用授權(quán),開放平臺給應(yīng)用頒發(fā)授權(quán)碼。
(C)應(yīng)用使用上一步獲得的授權(quán)碼,向開放平臺的認證服務(wù)器申請訪問令牌。
(D)認證服務(wù)器對應(yīng)用進行認證以后,確認無誤,返回訪問令牌給到應(yīng)用。
(E)客戶端應(yīng)用使用訪問令牌,向開放平臺的資源服務(wù)器申請訪問數(shù)據(jù)資源。
(F)開放平臺資源服務(wù)器確認訪問令牌有效,同意向客戶端應(yīng)用開放資源。
根據(jù)應(yīng)用的類型不同,授權(quán)分為客戶端模式授權(quán)和授權(quán)碼模式授權(quán)。
如果使用商戶賬號登錄開放平臺且創(chuàng)建的個人類型應(yīng)用,請使用OAuth2.0的客戶端授權(quán)模式。
如果注冊了服務(wù)商賬號,創(chuàng)建了企業(yè)類型的應(yīng)用,需要使用OAuth2.0的授權(quán)碼模式引導商戶授權(quán)。
普通商戶賬號只能創(chuàng)建個人類型的應(yīng)用,用于為自己的餓了么店鋪進行功能開發(fā)。服務(wù)商賬號目前只能創(chuàng)建企業(yè)類型的應(yīng)用,可以為多個不同的商戶提供服務(wù)。
授權(quán)請求入口地址
1)獲取授權(quán)碼(code)
2)獲取訪問令牌(access token)
注意事項:授權(quán)成功后得到的access_token正式環(huán)境有效期為30天,沙箱環(huán)境有效期是1天(expires_in的單位為秒),應(yīng)用需要自行存儲這個access_token,并且在每次接口訪問前判斷token是否失效(失效的判斷邏輯是token已經(jīng)過了expires_in的有效期或者接口調(diào)用返回的code為UNAUTHORIZED),如果失效需要重新授權(quán)獲取,在有效期內(nèi)token可以不能每次接口調(diào)用前都授權(quán)訪問一次。有效期內(nèi)重復授權(quán)訪問會導致上一次的access_token失效。
授權(quán)碼授權(quán)模式流程
企業(yè)類型的應(yīng)用的開發(fā)是指企業(yè)獨立完成應(yīng)用的設(shè)計開發(fā)后,作為商品服務(wù)推廣給商戶使用。
需要注意的是,連鎖店商戶授權(quán)后所有連鎖店的商戶都會對該應(yīng)用授權(quán)。
(A)商戶訪問客戶端應(yīng)用,后者將前者導向開放平臺認證服務(wù)器。
(B)商戶自行選擇是否給予應(yīng)用授權(quán)。
(C)假設(shè)商戶給予授權(quán),認證服務(wù)器將商戶導向客戶端事先指定的"重定向URI"(redirection URI),同時附上一個授權(quán)碼code。
(D)客戶端收到授權(quán)碼,使用授權(quán)碼向認證服務(wù)器申請訪問令牌。這一步是在客戶端的后臺服務(wù)器上完成的,對商戶不可見。
(E)認證服務(wù)器核對了授權(quán)碼和重定向URI,確認無誤后,向客戶端發(fā)送訪問令牌(access_token)和更新令牌(refresh_token)。
(F)假設(shè)商戶拒絕授權(quán),認證服務(wù)器將商戶導向客戶端事先指定的"重定向URI"(redirection URI),同時附上error信息
(G)在access_token即將過期之前,可以使用refresh_token直接向認證服務(wù)器發(fā)起請求,換取新的access_token,延續(xù)access_token的有效期
授權(quán)碼模式各步驟詳細說明:
此處以沙箱環(huán)境獲取acccess_token為例說明,如果是正式環(huán)境請求,需將請求入口地址等相關(guān)數(shù)據(jù)換成正式環(huán)境對應(yīng)入口地址,操作流程沙箱環(huán)境和正式環(huán)境是一致的。
實際進行授權(quán)操作時,測試的數(shù)據(jù) client_id、secret、redirect_uri 等參數(shù)均需要根據(jù)自己創(chuàng)建的應(yīng)用實際數(shù)據(jù)給予替換,不能拿示例中給出的值直接進行測試,以免影響實際測試效果。下圖為服務(wù)端授權(quán)方式流程圖,以下按流程圖逐步說明。
(A)步驟中,客戶端拼接授權(quán)需要訪問的URL,示例及參數(shù)說明如下:
(B)步驟引導商戶到授權(quán)頁,商戶可以選擇點擊【同意授權(quán)】或者【取消授權(quán)】
(C)步驟獲取授權(quán)碼,如果商戶點擊【同意授權(quán)】,開放平臺認證服務(wù)器會回應(yīng)客戶端的授權(quán)回調(diào)URI,并且返回參數(shù)
(D)步驟使用授權(quán)碼換取訪問令牌,客戶端向認證服務(wù)器發(fā)起訪問令牌的請求,示例及參數(shù)說明
(E)步驟,如果認證成功,認證服務(wù)器響應(yīng)HTTP請求,Token示例如下:
{
"access_token": "2YotnFZFEjr1zCsicMWpAA",
"token_type": "bear",
"expires_in": 3600,
"refresh_token": "tGzv3JOkF0XG5Qx2TlKWIA",
"scope": "all"
}
13137631192
2794453937
chy@differsoft.com
掃一掃加微信好友
