Skip to content

授权第一家店铺

CrossPilot 通过亚马逊官方 SP-API 接入你的店铺数据。本页讲清楚怎么授权、授权了什么、以及受限数据(买家 PII)的合规处理。

授权用的是官方 SP-API

CrossPilot 只走官方接口,不碰任何灰产手段:

  • ✅ 通过 Login with Amazon(LWA) 授权,拿到店铺的刷新令牌
  • ✅ 用 SP-API / Ads API / 官方报表 拉数据
  • ❌ 不爬亚马逊前台、不模拟买家下单、不做多账号指纹规避、不批量自动操作后台

这些「❌」是 Amazon ToS 明令禁止、会导致封号的高危动作。合规见 合规护栏

添加店铺步骤

  1. 打开 店铺中心,点「添加店铺」
  2. 填写:
    • 店铺备注名:你自己识别用(如「美国主店」)
    • 站点 Marketplace:US / UK / DE / JP 等
    • 结算币种:USD / EUR / JPY 等(用于利润多币种折算)
  3. 点「去授权」,跳转 Amazon 的 LWA 授权页,登录并同意授权
  4. 授权成功后拿到刷新令牌,CrossPilot 立即用 AES-256-GCM 加密后存入本地数据库

令牌怎么存、谁能看

环节行为
录入瞬间刷新令牌 AES-256-GCM 加密,密钥受系统钥匙串保护
前端 WebView看不到明文,只拿到脱敏后的展示
AI / MCP能力 schema 里没有令牌字段;出口命中令牌串会被 [REDACTED] 替换
解密使用只在 Rust 后端发起 SP-API 请求的瞬间在内存中解密

详见 数据本地化与凭据加密

受限数据(买家 PII)怎么处理

买家姓名、地址、邮箱等属于 受限个人信息(PII)。CrossPilot 遵循亚马逊的数据保护政策:

  • 不用普通 LWA token 直取 PII,必须走受限角色 + RDT(Restricted Data Token)
  • 涉及 PII 的字段默认脱敏,仅在业务必要时按最小化原则取用
  • 每一次 PII 访问都有访问审计留痕

多店与分组

  • 授权多家店铺后,可按 分组 / 标签 组织(如按客户、按站点)
  • 所有业务数据按 store_id + marketplace + currency 分区,跨店严格隔离
  • 驾驶舱可「全部店铺」汇总看,也可切到单店下钻

首次同步

授权完成后,同步引擎开始拉数据。它内置:

  • 令牌桶限流:不打爆 SP-API 配额
  • 指数退避重试:遇到限流 / 瞬时错误自动退避
  • resume + 幂等:断点续传,重复写入不产生脏数据

首次全量同步耗时取决于店铺数据量和 SP-API 报表生成速度。

授权常见问题

现象处理
授权成功但拉不到某类数据确认 SP-API 应用已勾选对应角色(如广告需 Ads API 授权)
令牌过期 / 失效回店铺中心重新走一次授权流程
想撤销授权店铺中心删除该店,或在 Amazon 卖家后台撤销应用授权

下一步

若依科技工作室 · 承接后台管理 / 桌面软件 / 全栈 / 小程序定制开发 · 技术服务咨询