Proceso de autorización de la Tienda de aplicaciones del colaborador comercial

Autoriza una aplicación mediante la tienda de aplicaciones del socio vendedor.

Los colaboradores comerciales pueden utilizar la tienda de aplicaciones del colaborador comercial para descubrir y conectar con aplicaciones de terceros que se integran con la SP-API. Los colaboradores comerciales pueden utilizar estas aplicaciones para gestionar su negocio de ventas en Amazon de forma más eficaz. Para utilizar una aplicación de la tienda de aplicaciones del colaborador comercial, el colaborador comercial debe autorizar el acceso de la aplicación a la información de su cuenta de Amazon como colaborador comercial. El acceso a la aplicación se concede a través de un proceso de OAuth que implica los siguientes pasos:

Paso 1. Iniciar la autorización de la Tienda de aplicaciones del colaborador comercial

  1. Inicia sesión en Seller Central y dirígete a la Tienda de aplicaciones del colaborador comercial.
  2. Abra el Detail página para su solicitud.
  3. Elige Authorize Now.

Paso 2. Consentimiento para autorizar tu aplicación

  1. Revisa y acepta el acceso a los datos solicitado por tu aplicación.

  2. Elige Login to < your application name > now.

    Amazon carga el URI de inicio de sesión (que proporcionaste al registrar la aplicación) en el navegador y añade los siguientes parámetros de consulta:

    ParámetroDescripción
    amazon_callback_uriUn URI para redirigir el navegador a Amazon.
    amazon_stateUn valor de estado que Amazon genera para protegerse de los ataques de falsificación de solicitudes entre sitios.
    selling_partner_idEl identificador del colaborador comercial que autoriza la aplicación.

    📘

    Nota

    Nota: si se trata de un proceso de prueba (iniciado al ir a tu URI de autorización de OAuth), Amazon incluirá el parámetro version=beta. Si se trata de un proceso de producción (iniciado desde la Tienda de aplicaciones del colaborador comercial), Amazon no incluirá el parámetro.

    Por ejemplo:

    https://d2yzyfnnpjylxu.cloudfront.net/index.html?amazon_callback_uri=https://amazon.com/apps/authorize/confirm/amzn1.sellerapps.app.2eca283f-9f5a-4d13-b16c-474EXAMPLE57&amazon_state=amazonstateexample&selling_partner_id=A3FHEXAMPLEYWS

Paso 3. Iniciar sesión en tu sitio web

  1. Inicia sesión en tu sitio web. Si no tienes una cuenta, primero debes completar el proceso de registro.

  2. Tu aplicación carga el URI de devolución de llamada de Amazon (introducido por Amazon en el paso anterior) en el navegador, añadiendo los siguientes parámetros:

ParámetroDescripción
redirect_uriUn URI para redirigir el navegador a tu aplicación. Debe ser el URI de redireccionamiento de OAuth que hayas especificado en el momento de registrar tu aplicación. Si no incluyes el parámetro redirect_uri, el valor predeterminado será el primer URI de redireccionamiento de OAuth especificado durante el registro de la aplicación.

Opcional

amazon_stateEl valor amazon_state introducido por Amazon en el paso anterior.
state

Un valor de estado generado por tu aplicación. Tu aplicación utiliza este valor para mantener el estado entre esta solicitud y la respuesta. Esto ayuda a proteger contra los ataques de falsificación de solicitud entre sitios.

Importante: dado que la información de OAuth se introduce a través de parámetros de consulta de URI, se recomienda encarecidamente que hagas lo siguiente: (1) asegúrate de que el token de estado es de corta duración y único de forma verificable para tu usuario y (2) establece el encabezado Referrer-Policy: no-referrer HTTP, que evita que la información confidencial se filtre a los sitios a los que está vinculado tu sitio. Para obtener más información sobre la falsificación de solicitudes entre sitios y el cálculo de un parámetro de estado, consulta Falsificación de solicitudes entre sitios.

📘

Nota

Si está probando su flujo de trabajo, también debe incluir el version=beta parámetro, que garantiza que el flujo de trabajo autorice una aplicación en Draft estado. Si no incluyes el parámetro, el flujo de trabajo autoriza una aplicación publicada en la tienda de aplicaciones del socio vendedor.

Por ejemplo:

https://amazon.com/apps/authorize/confirm/amzn1.sellerapps.app.2eca283f-9f5a-4d13-b16c-474EXAMPLE57?redirect_uri=https://d2yzyfnnpjylxu.cloudfront.net/landing.html&amazon_state=amazonstateexample&state=-37131022&version=beta

O

https://amazon.com/apps/authorize/confirm/amzn1.sellerapps.app.2eca283f-9f5a-4d13-b16c-474EXAMPLE57?redirect_uri=https://d2yzyfnnpjylxu.cloudfront.net/landing.html&amazon_state=amazonstateexample&state=-37131022

Paso 4. Amazon te envía la información de autorización

En Seller Central se muestra una notificación en la que se indica que Amazon te concede autorización para acceder a los datos. Mientras se muestra esta página, tienen lugar las siguientes acciones:

  1. Amazon carga tu URI de redireccionamiento de OAuth en el navegador, añadiendo los siguientes parámetros de consulta:

    ParámetroDescripción
    stateEl valor de estado que has introducido en el paso anterior.
    selling_partner_idEl identificador del colaborador comercial que autoriza la aplicación.
    spapi_oauth_codeEl código de autorización de Iniciar sesión con Amazon que intercambias por un token de actualización de LWA. Para obtener más información, consulta el Paso 5. La aplicación intercambia el código de autorización de LWA por un token de actualización de LWA.
    Nota: un código de autorización de LWA caduca a los 5 minutos. Debes cambiarlo por un token de actualización de LWA antes de que caduque.

    Por ejemplo:

    https://client-example.com?state=state-example&selling_partner_id=sellingpartneridexample&spapi_oauth_code=spapioauthcodeexample
  2. Tu aplicación valida el valor del estado.

  3. Su aplicación guarda el selling_partner_id y spapi_oauth_code valores.

  4. Se abre la página de destino de tu sitio web.

🚧

Importante

Los desarrolladores deben tener en cuenta que si el proceso de registro dura más de 10 minutos, el URI de devolución de llamada y el estado de Amazon caducarán, interrumpiendo el proceso. Si no se detecta ningún redireccionamiento al URI de devolución de llamada de Amazon después de registrarte, los desarrolladores deben hacer que el colaborador comercial inicie la generación del proceso de OAuth mediante el proceso del sitio web. Como alternativa, el colaborador comercial puede volver a la página de detalles de la tienda de aplicaciones del colaborador comercial de la aplicación y reiniciar el proceso.

Paso 5. Intercambiar el código de autorización de LWA por un token de actualización de LWA

Sugerencia

Nota: puedes utilizar opcionalmente Iniciar sesión con Amazon para JavaScript para ayudarte a intercambiar un código de autorización de LWA por un token de actualización de LWA. Para obtener más información, consulta la documentación de Iniciar sesión con Amazon:

  1. Tu aplicación llama al servidor de autorización de Iniciar sesión con Amazon (https://api.amazon.com/auth/o2/token) para intercambiar el código de autorización de LWA por un token de actualización de LWA. La llamada debe incluir los siguientes parámetros de consulta:

    ParámetroDescripción
    grant_typeEl tipo de concesión de acceso solicitada. Debe ser authorization_code.
    codeEl código de autorización de LWA que recibiste en el Paso 4. Amazon te envía la información de autorización.
    redirect_uriEl URI de redireccionamiento de tu aplicación.
    client_idParte de tus credenciales de LWA. Para obtener este valor, consulta Cómo ver la información y las credenciales de tu aplicación.
    client_secretParte de tus credenciales de LWA. Para obtener este valor, consulta Cómo ver la información y las credenciales de tu aplicación.

    Por ejemplo:

    POST /auth/o2/token HTTP/l.l Host: api.amazon.com Content-Type: application/x-www-form-urlencoded;charset=UTF-8 grant_type=authorization_code&code=SplxlOexamplebYS6WxSbIA&client_id=foodev&client_secret=Y76SDl2F
  2. El servidor de autorización de LWA devuelve el token de actualización de LWA. La respuesta está en formato JSON e incluye los siguientes elementos:

    ParámetroDescripción
    access_tokenUn token que autoriza a tu aplicación a realizar determinadas acciones en nombre de un colaborador comercial. Para obtener más información, consulta Conectarse a la API del colaborador comercial.
    token_typeEl tipo de token devuelto (debe ser bearer).
    expires_inEl número de segundos que faltan para que el token de acceso deje de ser válido.
    refresh_tokenUn token de larga duración que puede intercambiarse por un token de acceso nuevo. Para obtener más información, consulta Conectarse a la API del colaborador comercial.
    HTTP/l.l 200 OK Content-Type: application/json; charset UTF-8 Cache - Control: no-store Pragma: no-cache { "access_token": "Atza|IQEBLjAsAexampleHpi0U-Dme37rR6CuUpSR", "token_type": "bearer", "expires_in": 3600, "refresh_token": "Atzr|IQEBLzAtAhexamplewVz2Nn6f2y-tpJX2DeX" }
  3. La aplicación guarda el valor de refresh_token.

  4. El navegador abre una página en la que se indican los pasos siguientes para utilizar la aplicación.

    📘

    Nota

    Un token de actualización de LWA es un token de larga duración que se intercambia por un token de acceso de LWA. Un token de acceso obtenido a través de este intercambio de tokens debe incluirse en las llamadas a todas las operaciones de la API del colaborador comercial, excepto en las operaciones restringidas y las operaciones sin concesión, que utilizan modelos de autorización ligeramente diferentes. Una vez que se ha emitido un token de acceso, este es válido durante 1 hora. Se puede utilizar el mismo token de acceso para varias llamadas a la API hasta que caduque.

    Para intercambiar un token de actualización por un token de acceso utilizando un SDK generado, consulta Conexión a la API del colaborador comercial mediante un SDK de Java generado. Para intercambiar manualmente un token de actualización por un token de acceso, consulta Conectarse a la API del colaborador comercial.

Paso 6. (Opcional) Pruebe su flujo de trabajo de autorización

Te recomendamos que pruebes el flujo de trabajo de autorización para asegurarte de que tu aplicación puede intercambiar parámetros con Amazon y recibir información de autorización. Debes probar el flujo de trabajo de autorización mientras tu solicitud esté disponible Draft estado.

  1. Asegúrese de que su solicitud esté en Draft estado.

  2. Cree uno o más URI de autorización de OAuth con fines de prueba. Incluye el version=beta parámetro en los URI de OAuth para indicar que el flujo de trabajo es para autorizar una aplicación en Draft estado. Para obtener más información, consulte Construir una URI de autorización de OAuth.

    En lugar de comenzar en el Paso 1. El colaborador comercial inicia la autorización desde la Tienda de aplicaciones del colaborador comercial, puedes iniciar el proceso de prueba si te diriges a un URI de autorización de OAuth existente.

    Sugerencia

    Si estás probando tu flujo de trabajo con un socio vendedor de confianza, asegúrate de que tenga el URI de autorización de OAuth correspondiente a su región operativa.

    Si tu proceso de autorización de prueba tiene éxito, puedes convertirlo en un proceso de producción.

Paso 7. (Opcional) Convierta su flujo de trabajo de autorización de pruebas en un flujo de trabajo de producción

  1. Publica tu solicitud en la tienda de aplicaciones del socio vendedor. Esta acción cambia automáticamente tu solicitud de Draft a Published.

  2. Actualiza tu flujo de trabajo para eliminar el version=beta parámetro del URI de devolución de llamada de Amazon. Al eliminar este parámetro, se garantiza que cualquier socio vendedor pueda autorizar tu solicitud publicada a partir de Paso 1.

Diagrama de flujo de trabajo

El siguiente diagrama proporciona una descripción general de los flujos de trabajo de OAuth del sitio web y la tienda de aplicaciones de los socios vendedores.

The Selling Partner OAuth 2.0 workflows diagram for seller, vendor, and developer integration.


¿Te ha ayudado esta página?