授权说明
一.为什么要授权?
如果您的应用需要获取“货拉拉用户账户”隐私数据(如订单信息,下单),为保证用户数据的安全与隐私,您的应用需要取得货拉拉用户的授权,即获取访问用户账户数据的授权令牌 access_token。
二.是否一定要授权?
开发者应用,如果需要调用"需access_token”的接口,则必须进行授权操作。否则,无需进行授权操作
三.授权前提?
1.已入驻成为货拉拉开放平台开发者
2.已拥有一个处于“已上线”状态的应用,并获取到应用app_key,app_secret信息
四.名词解释?
app_key:AppKey是创建应用时,开放平台分配给应用的的标识,用以鉴别应用的身份
app_secret:是货拉拉开放平台给应用分配的密钥,开发者需要妥善保存这个密钥,这个密钥用来保证应用来源的可靠性,防止被伪造
access_token:Access Token即用户货拉拉账户的访问凭证,一般需要货拉拉用户同意后进行颁发。它代表了用户授予应用访问用户货拉拉账号上特定资源的权限
refresh_token: Refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_token和app_key,认证服务器通过后会返回一个新的AccessToken
expire_time:代表了上述访问凭证的过期时间。
五.授权标准?
货拉拉开放平台授权系统是基于OAuth2.0协议标准构建的授权系统.支持货拉拉开放网关接口授权调用
授权码模式(authorization code): 是指第三方应用打开货拉拉授权页面。由用户在页面进行登录授权操作。授权成功后,货拉拉授权认证服务将给予第三方应用使用用户货拉拉账户的权限令牌 。此模式为oauth2.0授权标准内功能最完整,流程最严密的授权模式。需调用的接口需要传入“用户账户访问令牌码access_token”。code保证了token的安全性,即使code被拦截,由于没有app_secret,也无法通过code获取到token
密码模式(passwd):是指用户100%信任第三方应用,将货拉拉账户,密码托管给第三方应用。第三方应用可使用其货拉拉账户+密码,从货拉拉认证服务器上获取账户访问令牌Access_token。此模式相对于授权码模式而言,安全性较低。暂时只允许国家行政机关,事业单位进行调用