Aliexpress API 授权流程整理

Aliexpress API 授权流程整理

 

前言

我零零总总用了好几个月的时间，写了一个自用的小程序，从 Aliexpress 上抓取订单的小程序。刚开始写的时候，该API还没有开放，而且没有订单相关的功能。我完全是通过模拟用户在网页上的操作来做的：获取网页源码，用正则取数据，然后组装到本地数据库。

期间经历过Ali 的数次微调，每次微调，我都要耗费几个小时做程序上的调整，最大的改动就是Ali 弄个新的 和 老的 订单展示页并存的时候。

最难的部分当数用户登陆部分，一次登陆，需要跨几个域，收集这几个域返回的 Cookie，收集好几个ajax返回的结果. Cookie 的问题，我用同一个 CookieContainer 解决了，但是 ajax 的，我还得老老实实的每个每个的按顺序去请求。

前两天，Ali 搞了一个小飞机，某状态下没有订单，分页居然有 2147483648 页，一看就是溢出了，正当我准备调整程序的时候，他们又神一般的把这个问题修复了。

数月前，我就申请成开发者账户，而且通过了，只是一直没有去研究。通过这次小飞机后，我决定，改用API获取订单数据，不在从网页抓取了。

开始

首先要注册成为开发者：

http://gw.api.alibaba.com/isv/index.htm

注册成功后，会分配给你一个应用的唯一标志：

其中:

Key 即为API 中说的 YOUR_APPKEY

签名串 即为 API 中说的YOUR_APPSECRET

API 说明可以打开如下地址：

http://gw.api.alibaba.com/dev/doc/sys_auth.htm?ns=aliexpress.open

获取授权步骤：

发起授权请求，用户同意授权后，返回 临时授权码，这里称为 Code

该步骤请求如下地址：

http://gw.api.alibaba.com/auth/authorize.htm?client_id=xxx&site=aliexpress&redirect_uri=urn:ietf:wg:oauth:2.0:oob

client_id 要填写 APPKEY

redirect_uri 是同意授权后回调的地址，因为我写的是客户端，不是WEB应用，所以当然没有回调地址，所以就用这个：urn:ietf:wg:oauth:2.0:oob

在请求之前，需要把上面的地址进行签名，把签名的值做为参数：_aop_signature的值，加到上面的地址里，一起请求，签名说明如下：

参数签名(_aop_signature)为所有参数key + value 字符串拼接后排序，把排序结果拼接为字符串data后通过bytesToHexString(HAMC-RSA1(data, appSecret))计算签名。验证签名的方式为对参数执行同样的签名，比较传入的签名结果和计算的结果是否一致，一致为验签通过。

注：只有客户端和WEB端授权流程发起授权请求这一步使用参数签名串组装规则，只用url请求参数作为签名因子；其他签名均需加入urlPath作为额外因子（见API签名串组装规则）。

Ali 给出了签名算法的C#示例：

http://gw.api.alibaba.com/dev/tools/app_signature.html

二，获取授权码

获取到临时码后，需要用 临时授权码 交换 授权码，所有的API都是通过授权码进行操作的

授权码获取地址：

https://gw.api.alibaba.com/openapi/http/1/system.oauth2/getToken/{0}?grant_type=authorization_code&need_refresh_token=true&client_id={1}&client_secret={2}&redirect_uri=urn:ietf:wg:oauth:2.0:oob&code={3}

其中：

{0}处和{1}处填写 APPKEY

{2} 处填写 APPSECRET

{3}处填写上一步获取到的那个临时授权码 Code

need_refresh_token 如果为 false 的话，不会返回用于刷新授权码的刷新码（我叫它刷新码）.

返回的结果如下：

{"aliId":"xxx","resource_owner":"xxx","expires_in":"36000","refresh_token":"xxx","access_token":"xxx"}

expires_in 是授权码的过期时间（秒），10个小时 (60 x 60 x 10)。如果过了10小时，就需要刷新授权码。

refresh_token 是后面需要用的刷新码

access_token 即新的授权码

三，刷新授权令牌

授权令牌自生成时间起，会在10小时后过期，这时如果在访问API，返回的是401 未授权。当该状况发生时，需要刷新授权令牌。刷新授权令牌 不需要 重新获取 临时码。

请求地址：

https://gw.api.alibaba.com/openapi/param2/1/system.oauth2/getToken/{0}

POST 如下数据：

grant_type 值为固定的 refresh_token

client_id 值为 APPKEY

client_secret 值为APPSECRET

refresh_token 即上一步中获取的令牌中的刷新码(refhreshToken)

刷新授权令牌 得到的结果 和用 临时授权码 得到的 授权令牌 大致一致，但是少了刷新码，因为刷新码的有效期为半年。

其它说明

令牌的刷新码(refreshToken)，在API文档中，说是半年有效期，但是在令牌中并没有关于刷新码的过期时间信息。

授权令牌的有效期为10分钟，也就是说即使你退出了应用，重新打开，只要你能复现这个授权令牌，在10分钟内，是不需要重新授权，重新获取授权码的。

所以，在用临时码或刷新码获取到授权码后，应该把相关信息存起来，以便下次使用，因为从本文最上面的图片中可以看到，API 每日最大的调用次数为 1W 次。

业务逻辑和结构逻辑分离

不知道我这样说有没有什么不妥。

API的每个方法调用都需要有授权令牌。但是如果在这些方法里都加上相关的 是否以授权，是否有授权令牌 的判断代码，相信连你自己都觉得不妥。

这里，我管API方法的调用叫业务逻辑，判断是否授权等叫结构逻辑。

做过MVC的一定知道，ActionFilter 很好用，可以将和业务无关的逻辑分离出来，但是C# 并没有原生的类似ActoinFilter 的东西。查了一下，有个叫PostSharp 的东西，但是这个东西不免费。

我之前用过EntLib ，对里面的 PIAB (策略注入 Policy Injecton) 了解一点点，但是仅局限于用配置文件做。因为这里的目的很明确：判断是否有授权，用配置文件做我觉得不妥。搜了一把，很多牛人都写过相关的文章，就是用 PolicyInjection.Create 和 PolicyInjection.Wrap 方法，并结合 ICallHandler 接口，及 HandlerAttribute 来做。

1     [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
2     public class NeedAuthAttribute : HandlerAttribute {
3
4
5         public override ICallHandler CreateHandler(Microsoft.Practices.Unity.IUnityContainer container) {
6             return new NeedAuthHandler();
7         }
8     }

 1 public class NeedAuthHandler : ICallHandler {
 2      public IMethodReturn Invoke(IMethodInvocation input, GetNextHandlerDelegate getNext) {
 3 var opts = input.Target as APIOpts;
 4             if(opts.AuthToken == null)
 5                 opts.Auth( opts.User , opts.Pwd);
 6             if(opts.AuthToken.HasExpiressed)
 7                 opts.RefreshAccessToken();
 8             return getNext()(input, getNext);
 9         }
10
11
12         public int Order {
13             get;
14             set;
15         }
16     }

使用起来很简单，就是在需要做授权判断的方法上加上相关的 Attribute

1 [NeedAuth]
2 public OrderDetail FindOrderById(string orderNo) {
3   var url = this.GetApiUrl(OrderFindOrderByID)
4                 .SetUrlKeyValue("orderId", orderNo);
5 var rh = new RequestHelper(this.CookieContainer);
6 var ctx = rh.Get(url);
7 return JsonConvert.DeserializeObject<OrderDetail>(ctx);
8 }

不过，上面的还不够，还需要在获取实例的时候：

1 private static APIOpts GetAPIOpts(string user, string pwd) {
2 var opts = AuthDataPersistence.Load(user);
3 if(opts == null)
4 opts = PolicyInjection.Create<APIOpts>(user, pwd);
5 else
6   opts = PolicyInjection.Wrap<APIOpts>(opts);
7 return opts;
8 }

好了，现在只需要在需要有授权的API方法上加上 NeedAuth 特性就行了，如果没有授权，就会自动去授权，如果需刷新授权码，就会自动刷新授权码，代码看起来清爽多了。

 

 

 

标签: Aliexpress API, PolicyInjection