Autenticación

Todas las solicitudes a la API pública requieren un token Bearer. Las credenciales de canal y los códigos de almacén se gestionan en el portal de desarrolladores; nunca los incrustes en tus apps cliente.

Claves API {#api-keys}

Crea claves en Developer Portal → API Keys después de que tu app sea aprobada.

ElementoDescripción
FormatoAuthorization: Bearer hio_live_… (producción) o claves de prueba según las emita el portal
AlcanceUna clave por app. Las cuotas y el acceso a canales siguen el plan de suscripción de la app.
RotaciónRevoca de inmediato las claves comprometidas; crea un reemplazo antes de revocar en producción.
AlmacenamientoSolo del lado del servidor. No expongas claves en apps móviles, JS de navegador ni repos públicos.

Para el comportamiento del sandbox, el prefijo de claves hio_test_* y datos de prueba deterministas (fixtures), consulta Sandbox.

Solicitud de ejemplo

curl https://api.hiobuy.com/v1/products/detail \
  -H "Authorization: Bearer hio_live_xxxxxxxx" \
  -H "Content-Type: application/json" \
  -d '{
    "channel": "1688",
    "product_id": "554456348334",
    "language": "en"
  }'

Autorización de canal (requisito previo) {#channel-authorization}

Una clave API por sí sola no es suficiente. Cada app debe completar la autorización de canal antes de llamar a las API de productos o pedidos para ese marketplace.

ModoQué configurasQué usa Gateway
Fulfillment propioOAuth por canal o token JSON en el portalTokens almacenados por app + canal
Almacén HIOBuyUn código de desarrollador de almacénCódigo + tokens gestionados del lado del servidor; compras/fulfillment reenviados a HIOBuy

Consulta Autorización del portal. Si un canal no está autorizado, las llamadas devuelven 401 CHANNEL_NOT_AUTHORIZED (Errores).

Lo que nunca envías {#what-not-to-send}

  • Tokens de acceso o refresh tokens de Taobao / 1688 / Weidian
  • Código de desarrollador de almacén (Gateway lo adjunta para las rutas de fulfillment)
  • JWT de sesión del portal en llamadas a la API pública

Trazabilidad de solicitudes {#tracing}

Cada respuesta incluye:

  • Encabezado x-request-id: correlaciónalo con request_id en el cuerpo JSON
  • Encabezados de cuota opcionales en rutas facturables; consulta Límites de tasa

Incluye x-request-id al contactar con soporte de HIOBuy.

Errores de autenticación comunes {#auth-errors}

HTTPCódigoSignificado
401INVALID_API_KEYToken Bearer ausente, revocado o mal formado
401CHANNEL_NOT_AUTHORIZEDLa app no ha autorizado el canal solicitado en el portal
403INSUFFICIENT_SCOPELa clave o app no tiene permiso para la operación
403FULFILLMENT_MODE_NOT_SUPPORTEDAPI de fulfillment llamada mientras la app está en modo de fulfillment propio