1) URL d'autorisation d'épissage
L'autorisation utilisateur d'épissage nécessite l'accès à l'URL. Les exemples et les descriptions des paramètres sont les suivants :
https://oauth.taobao.com/authorize?response_type=code&client_id=23075594&redirect_uri=http://. www.oauth.net/2/&state=1212&view=web

3) Obtenez le code2) Guidez l'utilisateur pour qu'il se connecte pour l'autorisation
Guidez l'utilisateur pour accéder à l'URL d'autorisation ci-dessus via le navigateur, et la page de connexion suivante apparaîtra. L'utilisateur saisit le numéro de compte et le mot de passe et clique sur le bouton « Connexion » pour accéder à la page d'autorisation.

Sur la page ci-dessus, si l'utilisateur clique sur le bouton « Autoriser », TOP renverra le code d'autorisation à l'adresse de rappel, et l'application pourra obtenir et utiliser le code pour l'échanger contre access_token
Si l'utilisateur clique ; Autoriser au lieu de cliquer sur Autoriser le bouton "Annuler" renverra les résultats suivants, où error est le code d'erreur et error_description est la description de l'erreur. Comme le montre la figure ci-dessous :

Instructions :
Vous pouvez publier des applications sur le marché des services (fuwu.taobao.com Une fois l'application en ligne, les utilisateurs qui achètent l'application peuvent utiliser « Mon service ». -Utiliser maintenant" "Accès (image ci-dessous), le système passera automatiquement à la page d'autorisation (donc si vous accédez à l'application de cette manière, vous n'avez pas besoin de coller l'URL), faites simplement attention pour obtenir le code. Dans le même temps, lors du renvoi du code, il renverra également des informations relatives au service de commande passé par l'état, similaires à :
state=versionNo:1;itemCode:xxxxx (versionNo est le numéro de version de l'application, itemCode est le code de chargement de l'application )

4) En échange d'access_token
Utilisez la commande curl de Linux pour obtenir access_token (jeton d'autorisation), comme suit ;Pour les applications, vous pouvez vous référer à la documentation**示例**Exemple de code ici.

curl -i -d "code=OxlukWofLrB1Db1M6aJGF8x2332458&grant_type=authorization_code&client_id=23075594&
client_secret=69a1469a1469a1469a14a9bf269a14& redirection _uri=http://www.oauth.net/2/ "https://oauth.taobao.com/token

Exemple de valeur de retour en échange d'un access_token

2. Flux côté client

Méthode d'autorisation de l'application client, adaptée aux éditeurs de logiciels indépendants qui ne disposent pas de serveur Web indépendant, mais peuvent accéder au serveur d'autorisation à l'aide d'un navigateur ou d'une application de script JS.

1. Demander l'adresse d'entrée

Environnement formel : https://oauth.taobao.com/authorize
Environnement Sandbox : https://oauth.tbsandbox.com/authorize

2. Prenons l'exemple de l'environnement formel pour obtenir access_token. S'il s'agit d'un environnement sandbox, veuillez utiliser les données sandbox. Dans le même temps, lors du processus d'autorisation, des paramètres tels que client_id doivent être remplacés en fonction des données réelles de l'application que vous avez créée, sinon l'autorisation ne pourra pas être complétée.

1) Épissez l'URL d'autorisation

https://oauth. taobao.com/authorize?response_type=token&client_id=23075594&state =1212&view=web

Cette étape est la même que la méthode d'autorisation de flux côté serveur et les guides aux utilisateurs d'accéder à l'URL d'autorisation pour l'autorisation, comme suit.

3) Obtenez le access_token

Après avoir cliqué sur Autorisation sur la page ci-dessus, TOP renverra directement le access_token à la page par défaut de Taobao (différente de la méthode de flux côté serveur consistant à renvoyer d'abord le code puis à modifier le access_token), qui peut être utilisé en ce moment. Le script JS (if(window.location.hash!=""){alert(window.location.hash)}) peut récupérer le champ après la page de rappel # pour obtenir le jeton d'accès.

Exemple de paramètre de retour :

https://oauth.taobao.com/oauth2?view=web#access_token=6101227f5e8c230696ac93a77b3de7daacb154c6ad98106263664221& à ken_type=Bearer&expires_in=86400&refresh_token=6100627e3f9202c0960a6ab5bfd704939c91635892c70dd263664221&re_expires_in=86400&r1_expires_in=86400&r2_expires_in=86 400&taobao_user_id=263664221&taobao_user_nick= %E5 %95%86%E5%AE%B6%E6%B5%8B%E8%AF%95%E5%B8%90%E5%8F%B717&w1_expires_in=86400&w2_expires_in=86400&state=1212&top_sign=3429C556FCD3F3FC52547DD3102159 2F

Remarque :
À l'exception de top_sign, les paramètres renvoyés ici sont les mêmes que les paramètres de retour d'autorisation de flux côté serveur. Ils ne seront pas décrits en détail ici. Pour plus de détails, veuillez vous référer aux instructions dans Flux côté serveur.
top_sign est un paramètre de signature généré par le système. L'autorisation utilisant la méthode de flux côté client nécessite une vérification de cohérence de ce paramètre.

4) Vérifiez la signature d'autorisation

c'est-à-dire vérifiez si les paramètres de retour sont cohérents avec top_sign. Dans les paramètres renvoyés comme ci-dessus, disposez toutes les clés et valeurs après le signe dièse, sauf top_sign, dans l'ordre alphabétique des paramètres, assemblez-les sous la forme clé1+valeur+clé2+valeur...., puis ajoutez l'AppSecret avant et après eux. (Supposons AppSecret = 69a1469a1469a1469a14a9bf269a14), puis convertissez en codage utf-8, puis effectuez le cryptage md5 et enfin convertissez le tout en majuscules.
md5(utf-8:AppSecret+k1+v1+k2+v2+...+kn+vn + AppSecret).

Pour les paramètres de retour suivants, prenez les paramètres après le signe # et concaténez-les et ajoutez AppSecret au début et à la fin pour obtenir le résultat suivant : 4c6ad981 06263664221token_typeBearer
expires_in86400refresh_token6100627e3f9202c0 960a6ab5bfd704939c91635892c70dd263664221re_expires_in86400r1_exp ires_in8640 0
r2expires_in86400taobao_user_id263664221taobao_user_nick%E5% 95%86%E5%AE%B6%E6%B5%8B%E8%AF%95%E5%B8%90%E5%8F%B717w1_expires_in86400&w2_expires_in86400&state121269a1469a1469a1469a14a9bf269a14
pour le cryptage md5 (reportez-vous à l'exemple de code d'appel API) et converti en majuscule, on obtient : 3429C556FCD3F3FC52547DD31021592F, ce qui est cohérent avec top_sign.

Déconnexion

Le processus de déconnexion ne prend actuellement en charge que l'accès au Web. Sa fonction est d'effacer les cookies de taobao.com, et non d'annuler l'autorisation de l'utilisateur. L'accès sur WAP ne fonctionne pas.

1. Environnement formel :

2. Environnement sandbox : https://oauth.tbsandbox.com/logoff
2. Étapes de sortie

Splice l'URL de sortie (telle que https://oauth.taobao.com/logoff?client_id=12304977&view=web

Autorisation d'actualisation

Étant donné que r1 ou w1 est généralement identique à la période d'abonnement et n'a généralement pas besoin d'être actualisé, w2 doit être prolongé par une ré-autorisation, donc rafraîchir_token n'est généralement utilisé que pour prolonger la période de validité de r2.

Instructions associées

1.

La période de validité du access_token autorisé (expires_in) est liée au type de balise (tel que les outils informatiques, les systèmes backend du commerçant, etc.) et au statut (tel que l'environnement formel, en ligne, etc.) comme suit.
Remarque : Lorsque l'API réelle est appelée, la durée d'autorisation de l'application est contrôlée avec plus de précision. Pour plus de détails, veuillez vous référer à (2. Description du niveau de sécurité. De plus, des applications telles que « Outils informatiques tiers » sont publiées sur ; fuwu après leur développement en ligne. Sur .taobao.com, les vendeurs doivent commander pour être utilisés, et la période d'autorisation correspondante sera la même que la période de commande. Si l'achat est de 1 mois, le access_token obtenu sera valable 1. mois.

2. Description du niveau de sécurité

Afin de contrôler avec plus de flexibilité la sécurité des données ouvertes sur la plateforme ouverte Taobao et de réduire le risque de fuite ou de modification malveillante des données des utilisateurs, la notion de niveau de sécurité est introduit.
Taobao Open Platform marque les API (ou champs API) et les applications avec quatre niveaux de sécurité : r1, r2, w1, w2 et 0,1,2,3 respectivement. Correspondant à r1, r2, w1 et w2, 4 délais d'expiration sont ajoutés lorsque le jeton d'accès (clé de session) est émis : r1_expires_in, r2_expires_in, w1_expires_in, w2_expires_in. Ces quatre valeurs sont utilisées pour représenter la période de validité de ce jeton d'accès appelant des API (ou champs) à chaque niveau, comme suit : (Les applications soumises à des restrictions de niveau de sécurité incluent : les outils informatiques tiers, les systèmes backend des fournisseurs de services et backends des modules de magasin. ;Les systèmes backend des commerçants et les nouvelles applications commerciales telles que celles utilisées par les vendeurs ne seront pas affectés pour le moment)

.

Niveau de sécurité	Niveau API	Test d'environnement formel	En ligne et en cours d'exécution	Peut-il être actualisé	Temps d'actualisation
Niveau 3	R1	24 heures	Idem comme délai de commande	Oui	La candidature en ligne est cohérente avec la période d'abonnement, et le test environnemental officiel est valable 24 heures
Niveau 3	R2	24 heures	La même période d'abonnement	Oui	La candidature en ligne est cohérente avec la période d'abonnement, Le test d'environnement formel est valable 24 heures
Niveau 3	W1	24 heures	Identique au délai de commande	Oui	La candidature en ligne est conformément au délai de commande, le test d'environnement formel est valable 24 heures
Niveau 3	W2	24 heures	Même délai de commande	Oui	L'application en ligne est la même que le délai de commande, le Le test d'environnement officiel est valable 24 heures
Niveau 2	R1	24 heures	Même délai de commande	Oui	La candidature en ligne est cohérente avec la durée d'abonnement, le test d'environnement formel est valable 24 heures
Niveau 2	R2	24 heures	72 heures	Oui	La candidature en ligne est cohérente avec le temps d'abonnement, le test d'environnement formel Valable 24 heures
Niveau 2	W1	24 heures	Même délai de commande	Oui	La candidature en ligne est cohérente avec le délai de commande, le test d'environnement officiel est valable 24 heures
Niveau 2	W2	30 minutes	30 minutes	Non
Niveau 1	R1	24 heures	Même durée d'abonnement	Oui	La candidature en ligne est cohérente avec la durée d'abonnement, et le test d'environnement officiel est valable 24 heures
Niveau 1	R2	24 heures	24 heures	Non
Niveau 1	W1	24 heures	Même délai de commande	Oui	Candidature en ligne et délai de commande Cohérent, le le test officiel d'environnement est valable 24 heures
Niveau 1	W2	5 minutes	5 minutes	Non
Niveau 0	R1	30 minutes	30 minutes	Non
Niveau 0	R2	0 minutes	0 minutes	Non
Niveau 0	W1	30 minutes	30 minutes	Non
Niveau 0	W2	0 minutes	0 minutes	Non

Exemple de code

1. Obtenez un exemple d'access_token

Les exemples de codes sont tous basés sur le SDK, veuillez vous référer aux instructions de téléchargement et d'utilisation du SDK.

1, exemple JAVA

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;
import com.taobao.api.internal.util.WebUtils; //引用top sdk
 public class open_oauth {
    public static void main(String[] args) {
      String url="https://oauth.taobao.com/token";
      Map<String,String> props=new HashMap<String,String>();
      props.put("grant_type","authorization_code");
/*测试时，需把test参数换成自己应用对应的值*/
      props.put("code","test");
      props.put("client_id","test");
      props.put("client_secret","test");
      props.put("redirect_uri","http://www.test.com");
      props.put("view","web");
      String s="";
      try{s=WebUtils.doPost(url, props, 30000, 30000);
      System.out.println(s);
      }catch(IOException e){
          e.printStackTrace();}
    } }

2, exemple PHP

<?php
/*测试时，需把test参数换成自己应用对应的值*/

 $url = 'https://oauth.taobao.com/token';
 $postfields= array('grant_type'=>'authorization_code',
 'client_id'=>'test',
 'client_secret'=>'test',
 'code'=>'test',
 'redirect_uri'=>'http://www.test.com');
 $post_data = '';
 
 foreach($postfields as $key=>$value){
 $post_data .="$key=".urlencode($value)."&";}
 $ch = curl_init();
 curl_setopt($ch, CURLOPT_URL, $url);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
 curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
 
 //指定post数据
 curl_setopt($ch, CURLOPT_POST, true);

 //添加变量
 curl_setopt($ch, CURLOPT_POSTFIELDS, substr($post_data,0,-1));
 $output = curl_exec($ch);
 $httpStatusCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
 echo $httpStatusCode;
 curl_close($ch);
 var_dump($output);
 
?>

3, exemple .NET

namespace Oauth2._0
{
    class Program 
    { 
    static void Main(string[] args)
        {
            WebUtils webUtils = new WebUtils(); 
            IDictionary<string, string> pout = new Dictionary<string, string>(); 
            pout.Add("grant_type", "authorization_code"); 
            pout.Add("client_id", "test"); 
            pout.Add("client_secret", "test"); 
            pout.Add("code", "test");
            pout.Add("redirect_uri", "http://www.test.com"); 
            string output = webUtils.DoPost("https://oauth.taobao.com/token", pout); 
            Console.Write(output); 
            Console.ReadLine();       
        }
    } 
}

2. Exemple d'actualisation Refresh_token
Ce qui suit est Sur la base de l'exemple Java du SDK, d'autres langages peuvent faire référence à la méthode d'acquisition de jetons, qui est similaire. En même temps, lors des tests, vous devez remplacer le paramètre de test par la valeur réelle correspondant à votre application.

  import java.io.IOException;
  import java.util.HashMap;
  import java.util.Map;
  import com.taobao.api.internal.util.WebUtils;
 
  public class test_refresh {
     
  public static void main(String[] args) {
    String url="https://oauth.taobao.com/token";
    Map<String,String> props=new HashMap<String,String>();
    props.put("grant_type","refresh_token");
    props.put("refresh_token","test");
    props.put("client_id","test");
    props.put("client_secret","test");
    String s="";
    try{s=WebUtils.doPost(url, props, 30000, 30000);
    System.out.println(s);
    }catch(IOException e){
        e.printStackTrace();
    }
    }

Convertissez réponseJson en un objet ci-dessus, ou extrayez directement le champ access_token et le nouveau jeton d'actualisation de celui-ci
refresh_token renvoie un exemple de contenu de résultat

FAQ

1. Lors de l'autorisation d'obtenir le jeton, la clé d'application a été transmise, mais l'erreur client_id est vide est toujours signalée ?
Un autre paramètre clé de l'autorisation, client_secret, est erroné. Cette erreur sera signalée. Focus sur la vérification

2 Est-il nécessaire d'effectuer d'abord un test d'autorisation dans le bac à sable ?

Il n'y a pas une telle exigence. Cela peut être fait en « testant d'abord l'autorisation dans le bac à sable, puis dans l'environnement formel » ou cela peut également être directement « en testant l'autorisation dans l'environnement formel »

3. les documents couramment utilisés liés à l’autorisation ?

• Gestion de plusieurs magasins : Voir
• Outil d'autorisation rapide : Voir
• Moyens d'améliorer le niveau de sécurité : Voir
• Détails du niveau de sécurité : Voir

4. Référence pour plus de problèmes d'autorisation et de codes d'erreur : Voir

FAQ

• Il n'y a pas encore de FAQ sur ce document