使用 OAuth 进行身份验证

不管是公共应用和私有应用程序必须使用 OAuth 进行身份验证才能访问 Mshop 的 OpenAPI 资源。

访问流程

1. 发出公共应用的安装请求

2. 被安装应用重定向到 Mshop 应用页面（需要登录 Mshop 后台并拥有应用中心相关权限），并展示相关应用的详情（包含Logo、名称、授权范围等）

3. 点击安装应用后页面会重定向到应用授权的回调地址（redirect_uri）完成安装授权

4. 回调地址 redirect_uri 中将包含code 与hmac

5. 公共应用开发者验证 hmac 后发送 code ,client_key 与client_secret 到 https://{shop}.hotishop.com/api/admin/app_store/oauth/token 换取访问令牌与授权范围

6. 商家打开已安装公共应用将会携带 shop ,timestamp 和hmac 参数访问应用的 app_url 目标地址

7. 开发者可使用获取到的访问令牌请求 Mshop OpenAPI 资源

8. Mshop 返回请求数据

OAuth 授权相关的 API

访问公共应用

需要后台登录

已登录商店的用户可以在应用市场安装您已发布的插件。

如果是使用开发者登记的clinet_id 与redirect_uri 进行安装，则访问以下url

https://{shop}.hotishop.com/admin/oauth/authorize?client_id={client_id}&scope={scopes}&redirect_uri={redirect_uri}&response_type=code

通过授权许可换取访问令牌

当用户确认点击【授权并安装】应用后，页面将被重定向开发者提供的redirect_uri地址，并传递验证参数。

https://example.com/auth/redirect_uri?code={authorization_code}&shop={shop}.hotishop.com&hmac={hmac}

使用授权code置换token

开发者获取以上信息并通过 HMAC 验证后，可通过向商店的 access_token端点发送请求，使用授权 code 交换可访问 OpenAPI 的 access_token（access_token 暂定无限期）。

POST /api/admin/app_store/oauth/token

Body参数

请求示例

curl --location --request POST 'https://{shop}.hotishop.com/api/admin/app_store/oauth/token' \
--header 'Authorization: {access-token}' \
--header 'Content-Type: application/json' \
--header 'Accept: application/json' \
--data-raw '{
    "client_id": "{client_id}",
    "client_secret": "{client_secret}",
    "code": "{authorization_code}"
}'

示例响应内容

{
    “access_token”: “6e9qGxq13F65o5Ecz45qQYK1NRJ9PiovvXNHc2qG”,
    “scope”: “read_orders,write_orders"
}