API 金鑰生命週期與權限建議
toobo
上次更新 5 個月前
【這篇解決什麼問題】
你要安全管理 API Token,避免外洩、誤用與權限過大風險。
【生命週期操作】
【關鍵限制】
【abilities 權限】
常見權限包含:
【角色權限】
【安全建議】
1) 將 Token 放入秘密管理系統,不要寫死在前端。
2) 依環境分離(正式與測試使用不同 Token)。
3) 變更人員或疑似外洩時,立即重生或撤銷。
【下一步】
你要安全管理 API Token,避免外洩、誤用與權限過大風險。
【生命週期操作】
- 建立新金鑰:Token 只顯示一次,請立即保存
- 重新生成:舊金鑰立即失效
- 撤銷:即刻失效,不可恢復
【關鍵限制】
- 每家商家同時只能有一把有效 Token
- Token 不自動過期(需你自行治理)
【abilities 權限】
常見權限包含:
- customers:read、customers:write
- orders:read、orders:write
- subscriptions:read、subscriptions:write
【角色權限】
- 商家管理員:可建立、重生、撤銷
- 一般用戶:僅可查看
【安全建議】
1) 將 Token 放入秘密管理系統,不要寫死在前端。
2) 依環境分離(正式與測試使用不同 Token)。
3) 變更人員或疑似外洩時,立即重生或撤銷。
【下一步】
- 串接前先看「API 認證」
- 錯誤處理請看「錯誤碼速查」
