Autenticación
Todas las solicitudes a la API pública requieren un token Bearer. Las credenciales de canal y los códigos de almacén se gestionan en el portal de desarrolladores; nunca los incrustes en tus apps cliente.
Claves API {#api-keys}
Crea claves en Developer Portal → API Keys después de que tu app sea aprobada.
| Elemento | Descripción |
|---|---|
| Formato | Authorization: Bearer hio_live_… (producción) o claves de prueba según las emita el portal |
| Alcance | Una clave por app. Las cuotas y el acceso a canales siguen el plan de suscripción de la app. |
| Rotación | Revoca de inmediato las claves comprometidas; crea un reemplazo antes de revocar en producción. |
| Almacenamiento | Solo del lado del servidor. No expongas claves en apps móviles, JS de navegador ni repos públicos. |
Solicitud de ejemplo
curl https://api.hiobuy.com/v1/products/detail \
-H "Authorization: Bearer hio_live_xxxxxxxx" \
-H "Content-Type: application/json" \
-d '{
"channel": "1688",
"product_id": "554456348334",
"language": "en"
}'Autorización de canal (requisito previo) {#channel-authorization}
Una clave API por sí sola no es suficiente. Cada app debe completar la autorización de canal antes de llamar a las API de productos o pedidos para ese marketplace.
| Modo | Qué configuras | Qué usa Gateway |
|---|---|---|
| Fulfillment propio | OAuth por canal o token JSON en el portal | Tokens almacenados por app + canal |
| Almacén HIOBuy | Un código de desarrollador de almacén | Código + tokens gestionados del lado del servidor; compras/fulfillment reenviados a HIOBuy |
Consulta Autorización del portal. Si un canal no está autorizado, las llamadas devuelven 401 CHANNEL_NOT_AUTHORIZED (Errores).
Lo que nunca envías {#what-not-to-send}
- Tokens de acceso o refresh tokens de Taobao / 1688 / Weidian
- Código de desarrollador de almacén (Gateway lo adjunta para las rutas de fulfillment)
- JWT de sesión del portal en llamadas a la API pública
Trazabilidad de solicitudes {#tracing}
Cada respuesta incluye:
- Encabezado
x-request-id: correlaciónalo conrequest_iden el cuerpo JSON - Encabezados de cuota opcionales en rutas facturables; consulta Límites de tasa
Incluye x-request-id al contactar con soporte de HIOBuy.
Errores de autenticación comunes {#auth-errors}
| HTTP | Código | Significado |
|---|---|---|
| 401 | INVALID_API_KEY | Token Bearer ausente, revocado o mal formado |
| 401 | CHANNEL_NOT_AUTHORIZED | La app no ha autorizado el canal solicitado en el portal |
| 403 | INSUFFICIENT_SCOPE | La clave o app no tiene permiso para la operación |
| 403 | FULFILLMENT_MODE_NOT_SUPPORTED | API de fulfillment llamada mientras la app está en modo de fulfillment propio |