本次改造内容分为两块,第一是子账号sessionkey的改造;第二是子账号授权模式的改造;
影响主要面向ISV(第三方应用开发者)
影响主要面向用户;(请点击改造后用户子账号授权流程)
只要支持子账号的应用都生效;(本次改造暂不对旺旺插件类应用生效)
后期会在api层面根据不同权限不同子账号sessionkey限制api权限(还在规划中);
一个卖家会使用多个isv的系统,如ERP、CRM等,可以使用一套子帐号系统;
卖家主账号可以根据员工权限和岗位决定是否给予系统使用权限;
使用子账号的sessionkey,便于记录操作源头,做安全日志监控;并且官方会统一开放操作日志供用户查询,进一步记录到最准确的操作者; (目前官方记录的操作日志都是基于父帐号的,因为子账sessionkey就是直接使用父帐号的,改造之后会做成继承子sessionkey的控制);
注意:
日志查询入口:在子账号管理系统的“操作日志”中查询;
监控业务范围:主要是几块核心的业务,如商品、交易等的修改、删除等操作,所以监控的API只有部分高危的API;
监控对象范围:所有支持子账号并调用修改价格等高危监控的API的第三方应用,以及淘宝后台相应操作记录;
日志开放内容:只记录行为,不记录具体的API,具体到操作者nick,时间,appkey(若是第三方应用),操作内容等;
TOP授权大开关,控制所有子账号可用或不可用。
针对老授权方式:将取消TOP给子账号授权的大开关,两个入口取消:
1. TOP的授权页面,取消授权子账号的勾选框,如图(1);
2. 账号管理中的应用授权页修改,取消下图红框中的功能,如图(2);
图(1)
图(2)
子账号在子账号管理中配置对应的应用之后,子账号进入登入授权页面 进行授权即可。
具体参考子账号授权流程介绍(新) 及用户授权文档。
l 基于OAuth2.0的登录验证授权方式(官方推荐使用):用户授权 (对于用短授权的API建议使用该授权协议);
如何知道当前用户是否是子账号?通过解析返回的json格式,解析返回有sub_taobao_user_id和sub_taobao_user_nick。具体方法看上述用户授权文档
针对应用实现的定时订单下载、定时商品上架、定时库存更改等功能操作,可以保持使用缓存在本地的主账号sessionkey,
因为一旦子账号关闭或过期,该子账号的sessionkey都会失效,导致应用定时功能无法正常进行;
对于日常的操作功能,如价格修改,属性修改等,官方强烈建议根据当前会话者的sessionkey来作为调用根据,特别是调用到高危api(删、改操作的操作;官方以后会将高危的API写的操作做成继承子sessionkey的控制,相关的操作记录会记录到对应的子账号,做到最准确的安全监控(这部分官方日志信息以后会统一开放);
对于商家后台等自研使用型应用,开发者一般程序设置是写死appkey,接受一个sessionkey(父帐号sk),子账号授权码改造后(不同子账号不同sessionkey),支持多个子账号的帐号系统应用需要设置接受多个sessionkey,避免多个账号登陆出现排挤下线现象