身份验证
所有公开 API 请求均需 Bearer 令牌。渠道凭证与仓库编码在开发者门户中管理——切勿将其嵌入客户端应用。
API 密钥 {#api-keys}
应用通过审核后,在 Developer Portal → API Keys 下创建密钥。
| 项 | 说明 |
|---|---|
| 格式 | Authorization: Bearer hio_live_…(生产环境)或门户签发的测试密钥 |
| 范围 | 每个应用一把密钥。额度与渠道访问权限遵循应用的订阅计划。 |
| 轮换 | 密钥泄露后须立即撤销;生产环境撤销前先创建替换密钥。 |
| 存储 | 仅允许服务端存储。切勿在移动应用、浏览器 JS 或公开仓库中暴露密钥。 |
示例请求
curl https://api.hiobuy.com/v1/products/detail \
-H "Authorization: Bearer hio_live_xxxxxxxx" \
-H "Content-Type: application/json" \
-d '{
"channel": "1688",
"product_id": "554456348334",
"language": "en"
}'渠道授权(前置条件) {#channel-authorization}
仅有 API 密钥并不足够。每个应用在为某卖场调用商品或订单 API 前,必须完成渠道授权。
| 模式 | 你配置的内容 | Gateway 使用的内容 |
|---|---|---|
| 自履约 | 门户中各渠道的 OAuth 或 token JSON | 按应用 + 渠道存储的 token |
| HIOBuy 仓库 | 一个仓库开发者编码 | 编码 + 服务端托管 token;采购/履约转发至 HIOBuy |
详见门户授权。若渠道未授权,调用将返回 401 CHANNEL_NOT_AUTHORIZED(错误)。
切勿发送的内容 {#what-not-to-send}
- 淘宝 / 1688 / 微店的 access token 或 refresh token
- 仓库开发者编码(Gateway 会在履约路由中自动附加)
- 门户 session JWT(公开 API 调用中勿传)
请求追踪 {#tracing}
每次响应均包含:
x-request-id响应头——与 JSON 正文中的request_id对应- 计费路由上可选的额度响应头——见限流
联系 HIOBuy 支持时请提供 x-request-id。
常见鉴权错误 {#auth-errors}
| HTTP | Code | 含义 |
|---|---|---|
| 401 | INVALID_API_KEY | Bearer 令牌缺失、已撤销或格式错误 |
| 401 | CHANNEL_NOT_AUTHORIZED | 应用未在门户中授权所请求的渠道 |
| 403 | INSUFFICIENT_SCOPE | 密钥或应用无权执行该操作 |
| 403 | FULFILLMENT_MODE_NOT_SUPPORTED | 应用处于自履约模式时调用了履约 API |