授权说明
一、授权方式
为保证用户数据的安全性,若您的应用已完成与蘑菇街开放平台对接,需要获取一些与用户紧密相关的信息(如订单、商品、促销等),需要征得用户的同意,获得用户的授权许可。蘑菇街开放平台采用国际通用的OAuth2.0标准协议,支持网站、桌面客户端、ERP系统(若要了解更多关于OAuth2.0的技术说明,请参考官方网站 http://oauth.net/2/ ) 。目前,蘑菇街开放平台的OAuth2.0支持以下方式获取Access Token。
| 方式 | 说明 |
|---|---|
| Server-side flow | 此流程要求ISV应用有Web Server应用,能够保存应用本身的密钥以及状态,可以通过http直接访问蘑菇街的授权服务器,可以通过RefreshToken刷新AccessToken保持授权有效。 |
| Clinet-side Application | 此流程适合客户端应用,同时应用无法与浏览器交互,但是可以外调用浏览器,需要每次都授权,无法通过RefreshToken刷新AccessToken。 |
| Refreshing Access Token | 用户如果在获取访问令牌时,同时获取到了刷新令牌,当访问令牌过期时,用户可以用刷新令牌刷新,从而延长访问令牌的时间,只有在Server-side flow才可以刷新。 |
二、名词解释
1. AppKey
开发者创建的应用标识,创建应用后在 控制台》应用列表 可以看到。
1. AppSecret
标识应用身份,在 控制台》应用列表 可以得到,获取Code、请求加签时必要参数。
2. Code
用户授权授权给应用换取AccessToken与RefreshToken的key,获取AccessToken必要参数,有效期为5分钟,或换取AccessToken后失效。
3. AccessToken
应用通过Code换取到最终颁发给应用的令牌,调用API必要参数,有效期为7天,同一个用户对应一个AppKey只会生效最后一次授权的AccessToken与RefreshToken。
3. RefreshToken
在有效期内可以刷新对应的AccessToken,授权后与AccessToken一起返回,用来减少用户授权频率,要求应用存储每个用户对同一个AppKey最近一次授权返回的RefreshToken,有效期为14天,或刷新后失效。
4. redirect_uri及callback定义规则
redirect_uri指的是应用发起请求时,所传的回调地址参数,在用户授权后应用会跳转至redirect_uri。
callback指的是应用注册时填写的回调地址链接 或者网站接入时所验证的域名地址。
规则:
(1)对于Server-side flow,redirect_uri是必选参数,并且要求redirect_uri与callback的顶级域名一致。
(2)在不可预知错误的情况下,返回到默认错误页面。
三、Server-side flow
此流程要求ISV或商家(自主研发应用)有web服务器,能够保持应用本身的密钥以及状态,可以通过http直接访问蘑菇街的授权服务器。
1.通过用户授权获取授权码Code(获取授权码链接)
通过拼接以下链接打开用户登录页面:https://oauth.mogujie.com/authorize?response_type=code&app_key=YOUR_APPKEY&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&state=YOUR_CUSTOM_CODE
请求方法:GET
请求参数:
| 参数 | 是否必选 | 参数说明 |
|---|---|---|
| app_key | 是 | 接入时申请的app_key |
| redirect_uri | 是 | 回调地址,请确保回调地址在授权域下,并UrlEncode进行编码。 |
| response_type | 是 | 授权类型,此值固定为“code”。client_side flow 此值为token |
| state | 否 | 用于第三方应用防止CSRF攻击,成功授权后回调时会原样带回。请务必严格按照流程检查用户与state参数状态的绑定。 |
返回说明:
如果用户成功登录并授权,则会跳转到指定的回调地址,并在redirect_uri地址后带上Authorization Code和原始的state值。
2.用上一步获取的Authorization Code,和AppSecret 通过Http POST方式换取Token。(获取访问令牌)
通过拼接以下链接(注意替换以下app_key、redirect_uri和state)打开用户登录页面:https://oauth.mogujie.com/token?code=YOUR_AUTHCODE&grant_type=authorization_code&app_key=YOUR_APPKEY&app_secret=YOUR_APPSECRET&redirect_uri=YOUR_REGISTERED_REDIRECT_URI
请求方法:GET
请求参数:
| 参数 | 是否必选 | 参数说明 |
|---|---|---|
| app_key | 是 | 接入时申请的app_key |
| app_secret | 是 | 接入时申请的app_secret |
| redirect_uri | 是 | 回调地址,与上一步的redirect_uri保持一致 |
| grant_type | 是 | 授权类型,申请accesstoken流程中,此值为“authorization_code” |
| code | 是 | 上一步中获取的Authorization Code |
| state | 否 | 用于第三方应用防止CSRF攻击,成功授权后回调时会原样带回。请务必严格按照流程检查用户与state参数状态的绑定。 |
返回说明:(如果成功返回,即可获取如下参数)
| 参数 | 描述 |
|---|---|
| statusCode | 授权操作状态(0000000 - 授权成功) |
| access_token | 授权令牌(AccessToken)。 |
| access_expires_in | 该AccessToken的有效期,单位为秒。 |
| refresh_token | 授权刷新令牌(RefreshToken)。 |
| refresh_expires_in | 该RefreshToken的有效期,单位为秒。 |
四、Client-side flow
此流程适合ISV没有自己的web服务器,且应用为原生程序,即客户端应用(同时应用无法与浏览器交互,但是可以外调用浏览器)。
请求的流程:(1)用户发起授权请求, 开放平台验证后获取code并置换出AccessToken 》 (2)获取url中的AccessToken 》 (3)调用API
1. 通过拼接以下链接(注意替换以下app_key、redirect_uri和state)打开用户登录页面,登录后进行授权(页面操作与Server-side-flow相同): https://oauth.mogujie.com/authorize?response_type=token&app_key=12304977&state=1212&redirect_uri=REDIRECT_URI
2. 直接从REDIRECT_URI中获取AccessToken信息。
最终返回的地址格式为:REDIRECT_URI/oauthCallBack/#access_token=6a42dbd2ef9cf3489a4913039838e12b
五、刷新Token
通过前两种流程,获取了Access token以及Refresh token(对于具有“获取Refresh token权限”的应用),但是一般来讲,AccessToken都有一定的时效性,在刷新有效时长内必须通过RefreshToken 来延迟Access token的时长。
请求的流程有:通过http post请求https://oauth.mogujie.com/token发送刷新。
请求参数:
| 参数 | 是否必选 | 参数说明 |
|---|---|---|
| app_key | 是 | 接入时申请的app_key |
| app_secret | 是 | 接入时申请的app_secret |
| grant_type | 是 | 授权类型,在刷新令牌的过程中,此值为“refresh_token”。 |
| refresh_token | 是 | 用来刷新AccessToken的刷新令牌 |
| state | 否 | 用于第三方应用防止CSRF攻击,成功授权后回调时会原样带回。请务必严格按照流程检查用户与state参数状态的绑定。 |
返回说明:(如果成功返回,即可获取如下参数)
| 参数 | 描述 |
|---|---|
| statusCode | 授权操作状态(0000000 - 授权成功) |
| access_token | 新授权令牌(AccessToken)。 |
| access_expires_in | 新AccessToken的有效期,单位为秒。 |
| refresh_token | 新授权刷新令牌(RefreshToken)。 |
| refresh_expires_in | 新RefreshToken的有效期,单位为秒。 |