Cho phép ứng dụng bên thứ ba truy cập vào tài khoản người bán

Hướng dẫn này giải thích cách sử dụng OAuth 2.0 để yêu cầu quyền truy cập vào tài khoản người bán của các bên khác. Nếu bạn là nhà cung cấp bên thứ ba, hãy sử dụng quy trình làm việc này để cho phép ứng dụng yêu cầu quyền truy cập vào tài khoản người bán của khách hàng.

Nếu bạn đang phát triển một ứng dụng nội bộ chỉ cần quyền truy cập vào tài khoản người bán của bạn, hãy xem bài viết truy cập vào tài khoản của bạn.

Yêu cầu xác minh ứng dụng

Các ứng dụng truy cập vào API Merchant phải trải qua quy trình xem xét xác minh OAuth. Những ứng dụng chưa được xác minh sẽ nhận cảnh báo và có chức năng bị hạn chế.

Ứng dụng là bất kỳ thiết bị nào có mã ứng dụng khách OAuth 2.0 duy nhất trong Google Cloud.

Quá trình xác minh thường mất từ 3 đến 5 ngày làm việc. Để tìm hiểu thêm và gửi yêu cầu xác minh, hãy xem bài viết xác minh cho ứng dụng.

Chính sách này áp dụng cho tất cả ứng dụng. Tất cả các ứng dụng đều nên trải qua quy trình xác minh càng sớm càng tốt để tránh gián đoạn kinh doanh.

Nhận phạm vi OAuth

Thiết lập tính năng uỷ quyền tăng dần để tránh các vấn đề khi chọn phạm vi.

Theo mặc định, tất cả phạm vi OAuth sẽ bị bỏ chọn trong màn hình xin phép cho ứng dụng nếu bạn yêu cầu nhiều phạm vi. Khi ứng dụng của bạn cho người dùng xem màn hình xin phép, người dùng phải tự chọn từng phạm vi để cấp quyền truy cập.

Kiểm tra phản hồi từ một yêu cầu OAuth để xác minh rằng ứng dụng của bạn đã nhận được các phạm vi thích hợp.

Xem các chính sách của OAuth 2.0 để biết thêm thông tin chi tiết.

Cấp phép cho yêu cầu

Mọi yêu cầu mà ứng dụng của bạn gửi tới API Merchant phải bao gồm mã thông báo uỷ quyền. Mã này cũng giúp Google xác định ứng dụng của bạn.

Giới thiệu về giao thức cấp phép

Ứng dụng của bạn phải sử dụng OAuth 2.0 để cấp phép các yêu cầu. Chúng tôi không hỗ trợ giao thức cấp phép nào khác. Nếu ứng dụng của bạn sử dụng chức năng Đăng nhập bằng Google, thì Google sẽ giúp bạn xử lý một số bước trong quá trình cấp phép.

Cấp phép cho các yêu cầu bằng OAuth 2.0

Tất cả các yêu cầu gửi đến API Merchant phải do một người dùng đã xác thực cấp phép.

Các chi tiết của quy trình cấp phép đối với OAuth 2.0 sẽ khác nhau đôi chút tuỳ thuộc vào loại ứng dụng bạn đang viết. Quy trình chung sau đây áp dụng cho tất cả các loại ứng dụng:

  1. Khi tạo ứng dụng của mình, bạn sẽ đăng ký ứng dụng bằng Google API Console. Sau đó, Google cung cấp thông tin bạn sẽ cần sau này, chẳng hạn như mã ứng dụng khách và mật khẩu ứng dụng khách.
  2. Kích hoạt Merchant API trong Google API Console. (Nếu API không được liệt kê trong API Console, thì hãy bỏ qua bước này.)
  3. Khi cần quyền truy cập vào dữ liệu người dùng, ứng dụng sẽ yêu cầu Google cung cấp phạm vi truy cập cụ thể.
  4. Google hiển thị màn hình yêu cầu sự đồng ý cho người dùng để hỏi xem họ có cho phép ứng dụng của bạn yêu cầu một số dữ liệu của họ hay không.
  5. Nếu người dùng đồng ý, thì Google sẽ cấp cho ứng dụng của bạn một mã truy cập ngắn hạn.
  6. Sau đó, ứng dụng yêu cầu dữ liệu người dùng và đính kèm mã truy cập trong yêu cầu.
  7. Nếu xác định rằng yêu cầu của bạn và mã này là hợp lệ, Google sẽ trả về dữ liệu mà ứng dụng yêu cầu.

Một số quy trình cấp phép có các bước bổ sung khác, chẳng hạn như sử dụng mã làm mới để lấy mã truy cập mới. Để biết thông tin chi tiết về quy trình cho các loại ứng dụng khác nhau, hãy xem tài liệu về OAuth 2.0 của Google.

Dưới đây là thông tin về phạm vi truy cập OAuth 2.0 cho Merchant API:

Phạm vi Ý nghĩa
https://www.googleapis.com/auth/content Quyền đọc/ghi

Để yêu cầu quyền truy cập bằng OAuth 2.0, ứng dụng của bạn cần thông tin về mức truy cập, cũng như thông tin mà Google cung cấp khi bạn đăng ký ứng dụng của mình (chẳng hạn như mã ứng dụng khách và mật khẩu ứng dụng khách).

Dưới đây là mẫu bạn có thể sử dụng để ủy quyền.