一直在研究酷家乐的开放平台,但不知道开放平台的原因还是其他原因,一直没测试成功过。在酷家乐负责API的人员指导下,我了解了他们的权限设置,他们对于权限鉴定做了如下规则。
接口鉴权概述
本体系下的所有接口都使用同一套鉴权规则,通过服务端鉴权校验的接口才会被正常地、合法地执行接口文档中描述的业务逻辑。商家和酷家乐进行商务合作之后,酷家乐将会分配给商家一组appkey和appsecret,这两个参数在接口鉴权中起到了最重要的作用。
鉴权参数
所有接口的入参,除了各接口文档中所描述的,还必须额外加上以下URL Query Param:
| 参数 | 是否必须 | 含义 |
|---|---|---|
| appkey | 是 | 商家和酷家乐商务合作之后,酷家乐分配给商家的appkey。这会是一个10位长度的字符串。 |
| timestamp | 是 | 格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总毫秒数,比如:1485878400000。注意,一些编程语言自带的库获取到的时间戳是精确到秒,这时需要乘以1000。 |
| appuid | 否 | 第三方用户的ID。不是所有接口都需要这个参数,具体的接口文档中会在URL Query Param注明该接口是否需要这个参数。 |
| sign | 是 | 签名值,根据appuid是否存在,有两种不同的计算方式。 如果appuid不存在:sign = md5(appsecret + appkey + timestamp)。 如果appuid存在:sign = md5(appsecret + appkey + appuid + timestamp)。 注意:appsecret我们不可在网络中传播,而只是用于在计算sign值的时候使用。appsecret只应该保存在商家应用的服务端以及酷家乐的服务端,请避免泄露,否则导致安全问题,酷家乐有权封禁商家的接口调用。 |
微信公众号 
