凭据状态 · 当前不发放真实密钥

API Key 与 Webhook 凭据中心

这里说明 OUACC 公开目录、Catalog Feed、Sandbox、代理下单 API 和 Webhook 签名的凭据状态。当前只开放公开只读资料，不发放 API Key，不开放真实下单、锁库存、支付或卡密返回。

6凭据类型

6安全要求

0已发放密钥

否是否开放下单 API

边界说明：任何自称能提供 OUACC 内部 API Key、下单密钥、库存锁定接口或卡密返回接口的人都不是官方渠道。正式凭据只会在站内代理/开发者流程开放后发放。

凭据类型状态

Public Catalog无需密钥

范围：公开目录读取

公开分类、商品模板、站点状态和 SEO 资料仍可通过公开接口读取。

Catalog Feed无需密钥

范围：JSON/CSV 目录同步

Feed 仅包含模板、库存字段和非现货边界，不返回卡密。

Sandbox Key未发放

范围：测试订单与 Webhook 样例

当前 Sandbox 为静态样例，不签发真实测试密钥。

Webhook Secret未发放

范围：回调签名校验

支付、发货和订单回调未启用，因此不签发签名密钥。

Reseller Order Key禁用

范围：代理下单/锁库存

代理下单、锁库存、自动发货和卡密返回均未开放。

Admin/Internal Key不公开

范围：后台管理

后台或内部凭据不会通过公开页面、客服或代理渠道发放。

最小权限设计要求

将来按目录读取、订单、Webhook 等分开授权，不使用一把全能钥匙。

IP Allowlist未启用

正式密钥发放前会要求固定服务器 IP 和回调域名。

Webhook Signature未启用

回调需支持时间戳、签名、重放保护和幂等 ID。

Rate Limit未启用

正式 API 会限制突发请求、缓存目录读取，避免扫库。

Secret Rotation未启用

未来支持密钥轮换、撤销和异常访问停用。

No Card Secret API禁用

未正式开售前任何 API 都不返回卡密、密码或交付密文。