更新时间:2024-11-27 13:37:56文档更新记录 >收藏订阅更新我的文档设置返回文档授权操作第一步:创建并配置应用创建、配置并上线第三方应用,可查看 创建&配置第三方应用。注意:●第三方应用必须上线后,才可让商家应用授权。●服务商要在授权前,在第三方应用的授权范围选择页面中添加所有需要商家授权的功能(包括第三方应用授权、代开发核心 api 包)。第二步:生成授权链接/二维码 服务商有两种方式可以生成授权链接/二维码。●控制台生成授权链接/二维码。●手动拼接授权链接。说明:若需要携带自定义参数,则需要手动拼接授权链接。控制台生成授权链接/二维码1服务商登录开放平台 ,打开第三方应用详情页,选择 商家授权,点击 邀请商家授权 。 2确认授权产品范围,如不符合预期,可点击 修改授权产品 进行修改。 3进入 邀请商家授权 页面,可输入商家账号,邀请单个商家,或直接通过链接/二维码,批量邀请授权。 若单独邀请,商家可登录支付宝客户端查看服务商申请消息。 若批量邀请,服务商将授权二维码或授权链接发给商家,邀请商家扫描授权二维码或打开授权链接,勾选应用进行授权。手动拼接授权链接手动拼接授权链接,根据商家的应用数量区分单个应用授权和指定应用授权。●单个应用授权:商家仅有一个应用需要授权。单个授权模式无法实现小程序相关接口调用,默认优先授权基础应用,若商家内没有基础应用,则系统自动生成基础应用。当商家拥有多个应用时,建议使用指定授权的方式拼接授权链接。●指定应用授权:商家有多个应用,从多个应用中选择一个。支持 全权委托授权代开发模式。指定应用授权(推荐)pc 端授权链接移动端二维码注意:●指定应用授权中,商家账号下必须拥有和 apptypes 指定类型对应的应用,如 apptypes = mobileapp (移动应用),商家必须有移动应用,否则授权页面中没有可选择的应用。platformcode 和 tasktype 是固定参数,无需修改。●platformcode 参数值为大写字母“o”,不是数字零。参数说明:只对 agentopparam 参数作修改说明,链接中 startapp 指定的 appid 不可替换。参数类型最大长度必填参数描述示例isvappidstring32是第三方应用 appid。2021000000000318apptypesstring/是对商家应用的限制类型,数组格式,支持多选,中间使用英文逗号(,)分隔,目前支持类型:●mobileapp(移动应用)●webapp(网页应用)●publicapp(生活号)●tinyapp(小程序)●baseapp(基础应用)["tinyapp","webapp"]redirecturistring/是回调页面地址,必须与第三方应用配置的 授权回调地址 一致。https://example.comstatestring100否自定义参数,便于服务商识别是哪个商家的授权信息。对应的值必须为 base64 编码。mdaymdiy示例代码单个应用授权注意:该方式不适用于小程序应用的第三方授权,默认优先授权基础应用,若商家没有基础应用,则系统自动生成基础应用。若商家有多个应用,建议选择指定应用授权方式拼接授权链接。拼接规则参数说明参数类型最大长度描述示例app_idstring32第三方应用的 appid,必填参数。2021000000000318redirect_uristring/商家授权后的回调页面,必填参数,参数需要 urlencode。http://example.comstatestring100自定义参数,可选参数,便于服务商识别是哪个商家的授权信息。对应的值必须为 base64 编码。mdaymdiy第三步:商家授权商家打开链接或者使用支付宝客户端扫描授权二维码,跳转至授权页面,选择需要授权的应用,确认授权。说明:打开单个应用授权的授权链接没有选择应用的步骤,直接确认授权即可。 " width="16" class="ne-image-loading-icon">图片加载失败第四步:获取 app_auth_code商家授权成功后,商家的页面跳转至服务商定义的回调地址(即 redirect_uri 参数对应的 url),在回调页面请求中会带上当次授权的授权码 app_auth_code 和第三方应用的 appid,示例如下。说明:应用授权回调请求包含 app_auth_code=xxx,source=alipay_app_auth 字段,可以区别于用户授权。第五步:使用 app_auth_code 换取 app_auth_token服务商通过回调请求,获取到 app_auth_code 参数,然后调用 alipay.open.auth.token.app(换取应用授权令牌)接口,换取 app_auth_token。说明:●应用授权的 app_auth_code 是唯一的。app_auth_code 使用一次后失效,单个授权的有效期为一天(从生成 app_auth_code 开始的 24 小时),未被使用自动过期。批量授权的有效期为 10 分钟。●app_auth_token 在没有重新授权、取消授权或刷新授权的情况下,永久有效。●商家应用重新授权后,app_auth_token 会刷新(刷新后原 token 仍存在 5~10min 的缓存期),建议服务商通过系统链路将 app_auth_token 入库,可保障及时更新,发起代调用请求时从数据库读取该字段,以避免手动更新时影响存量线上业务。请求参数说明参数类型描述示例grant_typestring换码类型,必填参数,以下值二选一。authorization_code:使用 app_auth_code 换取 app_auth_token。refresh_token:刷新 app_auth_token。authorization_codecodestring授权码,当 grant_type 传入 authorization_code 时,必须传入本参数。传入授权获取的 app_auth_code 值。p1798b23682e34d96859afa000000003refresh_tokenstring刷新令牌,上次换取访问令牌时得到。本参数在 grant_type 为 authorization_code 时不填;为 refresh_token 时必填,且该值来源于此接口的返回值 app_refresh_token(即至少需要通过 grant_type=authorization_code 调用此接口一次才能获取)。201509bbdcba1e3347de4e75ba3fed2c9abebe36请求示例响应参数说明参数描述示例user_id商家的 uid。2088102150521234auth_app_id商家应用的 appid。2021002120000002app_auth_token应用授权令牌。202201bb6891c77a23d9450c930e3edc0000003app_refresh_token刷新的新令牌。202201bb27bcdfc7db37443ea4cf1203b0000029expires_in令牌有效时间,该字段已作废,app_auth_token 在没有重新授权、取消授权或刷新授权的情况下,永久有效。31536000re_expires_in刷新令牌的有效时间(从接口调用时间作为起始时间),单位为秒。32140800响应示例若商家授权指定应用,则返回该应用的授权结果信息,如下所示。第六步:代商家应用调用接口服务商获取 app_auth_token 后,需调用支付宝开放接口时传入 app_auth_token 值,即代表本次调用请求是第三方应用代商家的应用发起的,可查看 代商家调用接口说明。说明:若第三方应用中有接入需签约的产品,则需要商家完成相关签约,才可正常运行业务,签约可分为商家自己签约或服务商代商家发起签约申请,可查看 商家签约。刷新授权若存在自身业务员安全需求,可刷新 app_auth_token,获取新的授权令牌。注意:请谨慎操作,刷新授权令牌会导致之前的令牌失效,需在 re_expires_in 显示时间内,完成替换业务中旧的 app_auth_token,否则旧的 app_auth_token 失效后,会影响线上业务。通过 alipay.open.auth.token.app(换取应用授权令牌接口)刷新授权令牌 app_auth_token。参数说明参数类型描述示例grant_typestring换码类型,必填参数,以下值二选一。authorization_code:使用 app_auth_code 换取 app_auth_token。refresh_token:刷新 app_auth_token。app_auth_tokenrefresh_tokenstring刷新令牌,当 grant_type 传入 refresh_token 时,必须传入本参数。传入上次换取授权时返回的 app_refresh_token 值。202201bb6891c77a23d9450c930e3edc00000013请求示例grant_type=refresh_token 时请求示例。响应示例参数说明可查看上文 第五步 的响应参数说明。查询授权商家信息调用接口查询服务商调用 alipay.open.auth.token.app.query(查询某个应用授权 appauthtoken 的授权信息)接口,传入 app_auth_token,可查询到该 app_auth_token 对应的商家及商家应用信息。应用详情页查询授权第三方应用后,服务商可在第三方应用详情页,选择 商家授权 > 授权 token 中,获得该模板授权的 app_auth_token。 解除授权说明:商家可取消授权,服务商无法取消授权。商家进入 页面,选择 第三方应用授权。点击第三方应用右上角 取消授权。服务商可在第三方应用详情页的 开发设置 > 消息服务 > from 平台 页签订阅 alipay.open.auth.appauth.cancelled(第三方应用授权取消消息)通知,便于服务商第一时间知道商家应用取消授权的动态,详情可查看 from 蚂蚁消息。
