什么是 OAuth
OAuth 2.0 是行业标准的授权协议,允许应用在 不暴露用户凭据 的前提下,安全地访问受保护资源。在百居易 OpenAPI 中,OAuth 主要面向 软件合作伙伴,让它们的应用能够代表房东用户调用 API。
谁需要使用 OAuth
百居易 OpenAPI 支持两种鉴权方式:
- 普通 API 用户:大多数仅集成自家账号的开发者,使用 Access Token 即可,不需要 OAuth。
- 软件合作伙伴:如果你做的是 SaaS 平台、第三方工具,或需要代表多个百居易房东操作,则必须使用 OAuth。
大部分用户 不需要 OAuth。如果你只需要操作自己的账号,使用在 百居易后台 创建的 Access Token 即可。
OAuth 工作流程
OAuth 流程通过下列几步实现安全的访问控制:
- 申请接入:软件合作伙伴按 申请 OAuth 接入流程 提交申请。
- 拿到凭据:审核通过后,百居易会下发
Client ID和Client Secret。 - 房东授权:应用引导房东走 授权流程 完成 API 授权。
- 换取 Access Token:应用用授权码或 refresh token 换取
Access Token,用于实际 API 请求。 - 调用 API:用
Access Token调用百居易 OpenAPI。 - 管理 Token:按需刷新或撤销 Token 以保证安全。
让房东可以撤销授权
如果房东决定不再使用你的应用,必须能彻底解除你与该房东的关联。
提供撤销入口有两种方式:在你的应用内提供一个撤销按钮;或者引导房东到 百居易后台 自行撤销。
API 端点概览
百居易 OAuth API 主要包含以下两个端点:
1. 获取 / 刷新 Access Token
端点: /oauth/authorizations
说明: 通过 OAuth 2.0 授权码或 refresh token 获取新的 access token。
2. 撤销 / 删除 Token
端点: /oauth/revoke
说明: 撤销 access token 或 refresh token,断开应用与百居易账号的关联。