API 金鑰生命週期與權限建議

toobo

上次更新 5 個月前

【這篇解決什麼問題】

你要安全管理 API Token,避免外洩、誤用與權限過大風險。

【生命週期操作】

  • 建立新金鑰:Token 只顯示一次,請立即保存
  • 重新生成:舊金鑰立即失效
  • 撤銷:即刻失效,不可恢復

【關鍵限制】

  • 每家商家同時只能有一把有效 Token
  • Token 不自動過期(需你自行治理)

【abilities 權限】

常見權限包含:
  • customers:read、customers:write
  • orders:read、orders:write
  • subscriptions:read、subscriptions:write

【角色權限】

  • 商家管理員:可建立、重生、撤銷
  • 一般用戶:僅可查看

【安全建議】

1) 將 Token 放入秘密管理系統,不要寫死在前端。
2) 依環境分離(正式與測試使用不同 Token)。
3) 變更人員或疑似外洩時,立即重生或撤銷。

【下一步】

  • 串接前先看「API 認證」
  • 錯誤處理請看「錯誤碼速查」

這篇文章實用嗎?

0 人中有 0 人喜歡這篇文章

仍然需要協助嗎?傳送訊息給我們