授权说明

一、授权方式

为保证用户数据的安全性,若您的应用已完成与美丽说开放平台对接,需要获取一些与用户紧密相关的信息(如订单、商品、促销等),需要征得用户的同意,获得用户的授权许可。美丽说开放平台采用国际通用的OAuth2.0标准协议,支持网站、桌面客户端、ERP系统(若要了解更多关于OAuth2.0的技术说明,请参考官方网站 http://oauth.net/2/ ) 。目前,美丽说开放平台的OAuth2.0支持以下方式获取Access Token。

方式 说明
Server-side flow 此流程要求ISV应用有Web Server应用,能够保存应用本身的密钥以及状态,可以通过http直接访问美丽说的授权服务器,可以通过RefreshToken刷新AccessToken保持授权有效。
Clinet-side Application 此流程适合客户端应用,同时应用无法与浏览器交互,但是可以外调用浏览器,需要每次都授权,无法通过RefreshToken刷新AccessToken。
Refreshing Access Token 用户如果在获取访问令牌时,同时获取到了刷新令牌,当访问令牌过期时,用户可以用刷新令牌刷新,从而延长访问令牌的时间,只有在Server-side flow才可以刷新。

二、名词解释

1. AppKey

开发者创建的应用标识,创建应用后在 控制台》应用列表 可以看到。

1. AppSecret

标识应用身份,在 控制台》应用列表 可以得到,获取Code、请求加签时必要参数。

2. Code

用户授权授权给应用换取AccessToken与RefreshToken的key,获取AccessToken必要参数,有效期为5分钟,或换取AccessToken后失效。

3. AccessToken

应用通过Code换取到最终颁发给应用的令牌,调用API必要参数,有效期为7天,同一个用户对应一个AppKey只会生效最后一次授权的AccessToken与RefreshToken。

3. RefreshToken

在有效期内可以刷新对应的AccessToken,授权后与AccessToken一起返回,用来减少用户授权频率,要求应用存储每个用户对同一个AppKey最近一次授权返回的RefreshToken,有效期为14天,或刷新后失效。

4. redirect_uri及callback定义规则

redirect_uri指的是应用发起请求时,所传的回调地址参数,在用户授权后应用会跳转至redirect_uri。

callback指的是应用注册时填写的回调地址链接 或者网站接入时所验证的域名地址。

规则:

(1)对于Server-side flow,redirect_uri是必选参数,并且要求redirect_uri与callback的顶级域名一致。

(2)在不可预知错误的情况下,返回到默认错误页面。


三、Server-side flow

此流程要求ISV或商家(自主研发应用)有web服务器,能够保持应用本身的密钥以及状态,可以通过http直接访问美丽说的授权服务器。

1.通过用户授权获取授权码Code(获取授权码链接)

通过拼接以下链接打开用户登录页面:https://oauth.meilishuo.com/authorize?response_type=code&app_key=YOUR_APPKEY&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&state=YOUR_CUSTOM_CODE

请求方法:GET

请求参数:

参数 是否必选 参数说明
app_key 接入时申请的app_key
redirect_uri 回调地址,请确保回调地址在授权域下,并UrlEncode进行编码。
response_type 授权类型,此值固定为“code”。client_side flow 此值为token
state 用于第三方应用防止CSRF攻击,成功授权后回调时会原样带回。请务必严格按照流程检查用户与state参数状态的绑定。

返回说明:

如果用户成功登录并授权,则会跳转到指定的回调地址,并在redirect_uri地址后带上Authorization Code和原始的state值

2.用上一步获取的Authorization Code,和AppSecret 通过Http POST方式换取Token。(获取访问令牌)

通过拼接以下链接(注意替换以下app_key、redirect_uri和state)打开用户登录页面:https://oauth.meilishuo.com/token?code=YOUR_AUTHCODE&grant_type=authorization_code&app_key=YOUR_APPKEY&app_secret=YOUR_APPSECRET&redirect_uri=YOUR_REGISTERED_REDIRECT_URI

请求方法:GET

请求参数:

参数 是否必选 参数说明
app_key 接入时申请的app_key
app_secret 接入时申请的app_secret
redirect_uri 回调地址,与上一步的redirect_uri保持一致
grant_type 授权类型,申请accesstoken流程中,此值为“authorization_code”
code 上一步中获取的Authorization Code
state 用于第三方应用防止CSRF攻击,成功授权后回调时会原样带回。请务必严格按照流程检查用户与state参数状态的绑定。

返回说明:(如果成功返回,即可获取如下参数)

参数 描述
statusCode 授权操作状态(0000000 - 授权成功)
access_token 授权令牌(AccessToken)。
access_expires_in 该AccessToken的有效期,单位为秒。
refresh_token 授权刷新令牌(RefreshToken)。
refresh_expires_in 该RefreshToken的有效期,单位为秒。

四、Client-side flow

此流程适合ISV没有自己的web服务器,且应用为原生程序,即客户端应用(同时应用无法与浏览器交互,但是可以外调用浏览器)。

请求的流程:(1)用户发起授权请求, 开放平台验证后获取code并置换出AccessToken 》 (2)获取url中的AccessToken 》 (3)调用API

1. 通过拼接以下链接(注意替换以下app_key、redirect_uri和state)打开用户登录页面,登录后进行授权(页面操作与Server-side-flow相同): https://oauth.meilishuo.com/authorize?response_type=token&app_key=12304977&state=1212&redirect_uri=REDIRECT_URI

2. 直接从REDIRECT_URI中获取AccessToken信息。

最终返回的地址格式为:REDIRECT_URI/oauthCallBack/#access_token=6a42dbd2ef9cf3489a4913039838e12b


五、刷新Token

通过前两种流程,获取了Access token以及Refresh token(对于具有“获取Refresh token权限”的应用),但是一般来讲,AccessToken都有一定的时效性,在刷新有效时长内必须通过RefreshToken 来延迟Access token的时长。

请求的流程有:通过http post请求https://oauth.meilishuo.com/token发送刷新。

请求参数:

参数 是否必选 参数说明
app_key 接入时申请的app_key
app_secret 接入时申请的app_secret
grant_type 授权类型,在刷新令牌的过程中,此值为“refresh_token”。
refresh_token 用来刷新AccessToken的刷新令牌
state 用于第三方应用防止CSRF攻击,成功授权后回调时会原样带回。请务必严格按照流程检查用户与state参数状态的绑定。

返回说明:(如果成功返回,即可获取如下参数)

参数 描述
statusCode 授权操作状态(0000000 - 授权成功)
access_token 新授权令牌(AccessToken)。
access_expires_in 新AccessToken的有效期,单位为秒。
refresh_token 新授权刷新令牌(RefreshToken)。
refresh_expires_in 新RefreshToken的有效期,单位为秒。