授權第三方應用程式存取商家帳戶

本指南將說明如何使用 OAuth 2.0 要求存取其他方的商家帳戶。如果您是第三方供應商,請使用這個工作流程,讓應用程式要求存取客戶的商家帳戶。

如果您要開發僅需要存取商家帳戶的內部應用程式,請參閱「存取帳戶」一文。

要求驗證應用程式

存取 Merchant API 的應用程式必須通過 OAuth 驗證審查程序。未經驗證的應用程式會收到警告,且功能受到限制

應用程式是指在 Google Cloud 中具有專屬 OAuth 2.0 用戶端 ID 的任何項目。

驗證程序通常需要 3 至 5 個工作天。如要進一步瞭解相關規定,並提交驗證申請,請參閱「應用程式驗證」。

這項政策適用於所有應用程式。建議所有應用程式盡早完成驗證程序,以免影響業務。

取得 OAuth 範圍

設定漸進式授權,避免範圍選取問題。

如果您要求多個 OAuth 範圍,系統會預設在應用程式的同意畫面中取消選取所有範圍。當應用程式向使用者顯示同意畫面時,使用者必須手動選取每個範圍,才能授予存取權。

如要使用 Merchant API,您的應用程式必須在 OAuth 同意畫面上要求下列範圍:

https://www.googleapis.com/auth/content

檢查 OAuth 要求的回應,確認應用程式已收到此權限範圍。

詳情請參閱 OAuth 2.0 政策

授權要求

您的應用程式傳送至 Merchant API 的每項要求都必須包含授權權杖。這個權杖也可讓 Google 識別您的應用程式。

關於授權通訊協定

您的應用程式必須使用 OAuth 2.0 對要求進行授權,系統不支援其他授權通訊協定。如果您的應用程式採用使用 Google 帳戶登入功能,系統會為您處理部分授權事項。

使用 OAuth 2.0 對要求進行授權

所有傳送至 Merchant API 的要求都必須由經過驗證的使用者進行授權。

OAuth 2.0 授權程序 (或「流程」) 的細節會根據您編寫的應用程式類型而有所不同。下列一般程序適用於所有應用程式類型:

  1. 建立應用程式後,請透過 Google API 控制台註冊應用程式。接著 Google 會向您提供稍後需要的資訊,例如用戶端 ID 和用戶端密碼。
  2. 在 Google API 控制台中啟用 Merchant API。(如果 API 控制台裡沒有列出該 API,則可略過這個步驟)。
  3. 當應用程式需要存取使用者資料時,會向 Google 要求特定的存取範圍
  4. Google 會向使用者顯示同意畫面,請對方授權您的應用程式要求部分資料。
  5. 如果使用者同意,Google 即會授予短期存取權杖給您的應用程式。
  6. 您的應用程式向使用者要求資料,並且在要求中附上存取權杖。
  7. 如果 Google 判定您的要求與權杖有效,便會傳回您要求的資料。

部分流程包含額外步驟,例如使用「更新權杖」來取得新的存取權杖。如要進一步瞭解各類應用程式的流程,請參閱 Google 的 OAuth 2.0 說明文件

以下列出 Merchant API 的 OAuth 2.0 範圍相關資訊:

範圍 意義
https://www.googleapis.com/auth/content 讀取/寫入權限。

如要透過 OAuth 2.0 要求存取權,您的應用程式需要範圍資訊,以及 Google 在您註冊應用程式時提供的資訊 (例如用戶端 ID 和用戶端密碼)。

以下是可用於授權的範例