Authentifizierung
Jeder programmgesteuerte Endpunkt mit Abrechnungsfunktion akzeptiert einen einzigen API-Schlüssel, der auf eine von drei Arten übermittelt werden kann. Auf dieser Seite erfahren Sie, wo Sie den Schlüssel erhalten, wie Sie ihn übermitteln und wie der Server ihn Ihrem Konto zuordnet.
Senden Ihres
Der Server überprüft drei Stellen in dieser Reihenfolge. Der erste nicht leere Wert hat Vorrang.
| Wo | Beispiel | Anmerkungen |
|---|---|---|
X-API-Schlüssel Kopfzeile |
X-API-Key: wh_… |
Bevorzugt. Der Name der Kopfzeile ist nicht groß-/kleinschreibungsabhängig. |
Berechtigung Kopfzeile |
Berechtigung: Inhaber wh_… |
„Standard Bearer“-Programm. Alles andere (z. B. Grundlegend) wird ignoriert. |
api_key Abfrageparameter |
?api_key=wh_… |
Nur als Notlösung. Vermeiden Sie es bei sensiblen Daten – es taucht in URLs, Serverprotokollen und im Browserverlauf auf. |
curl -sS \
-H "X-API-Key: $WH_API_KEY" \
"{origin}/api/v1/tiktok-shop/credits"
curl -sS \
-H "Authorization: Bearer $WH_API_KEY" \
"{origin}/api/v1/tiktok-shop/credits"
curl -sS "{origin}/api/v1/tiktok-shop/credits?api_key=$WH_API_KEY"
Alle drei Varianten sind für die Weiterleitung gleichwertig; wählen Sie diejenige, die in Ihrem HTTP-Client am einfachsten zu handhaben ist.
Woher der Schlüssel stammt
Schlüssel werden ausschließlich über die API -Seite in der App verwaltet:
GET /api— Ihren aktuellen Schlüssel anzeigen, kopieren oder neu generieren.POST /api/regenerate— Programmgestützte Erneuerung (Anmeldung erforderlich).
Ein Schlüssel sieht so aus wh_ gefolgt von 48 Hexadezimalzeichen. Behandle es wie ein Passwort: Es gewährt dir Zugriff auf dein gesamtes monatliches API-Kontingent.
Regeneration ist unmittelbar und zerstörerisch. Der bisherige Schlüssel funktioniert nicht mehr, sobald Sie die Regeneration durchführen, und alle Clients, die ihn noch verwenden, erhalten 401 Nicht autorisiert. Drehen, wenn:
- Sie vermuten ein Leck.
- Ein Mitarbeiter oder Auftragnehmer mit Zugriffsberechtigung verlässt das Unternehmen.
- Du hast versehentlich einen Schlüssel in die Versionskontrolle eingecheckt.
Ansonsten gibt es keine Ablaufdatum für einen Schlüssel – sie funktionieren so lange, bis du sie neu generierst oder dein Tarif herabgestuft wird.
Nr.
Sobald ein Schlüssel einem Konto zugeordnet wurde, prüft der Server, ob für dieses Konto der API-Zugriff aktiviert ist. Ist dies nicht der Fall, erhalten Sie einen HTTP-403-Fehler, selbst wenn das Schlüsselformat gültig ist. Durch Herabstufungen oder Kündigungen kann der Zugriff sofort entzogen werden.
Team- und
Schlüssel werden pro Benutzer ausgegeben. Bei Team-Konfigurationen richten sich Nutzung und Zugriff nach den Abrechnungsregeln Ihrer Organisation innerhalb des Produkts – nutzen Sie die API-Seite und das Dashboard in der App, um einen verbindlichen Überblick über Ihren Lizenzplatz zu erhalten.
über Sitzung vs. API-Schlüssel#
Die Routen von WinningHunter lassen sich in drei Varianten unterteilen. Achte darauf, dass du dich an die richtige wendest.
| Routenpräfix | Autor | Wann ist die Verwendung angebracht? |
|---|---|---|
/api/v1/tiktok-shop/* |
API-Schlüssel (X-API-Schlüssel) |
Alle programmatischen / externen Integrationen. Unterliegt Guthaben + Ratenbegrenzung. |
/api/tiktok-shop/*, /api/product-detail/*usw. |
Angemeldete Browsersitzung (Cookies) | Wird ausschließlich von der Web-App verwendet. Dies sind nicht Die API-Schlüssel-Oberfläche – Verwendung /api/v1/tiktok-shop/* für Integrationen. |
/api/v1/adlibrary, /api/v1/magic-ai, /api/v1/store-tracker, /api/v1/store-explorer, /api/v1/brands |
API-Schlüssel | Die programmatische Oberfläche außerhalb von TikTok. Gleiche Messung wie /api/v1/tiktok-shop/*. Die nicht versionierte /api/<x> Formulare werden als abwärtskompatible Aliase für Anzeigenbibliothek, Filial-Trackerund Laden-Entdecker Nur – neue Integrationen sollten die v1-Pfade aufrufen. /api/magic-ai und /api/brands (nein v1) sind Dashboard-Sitzungsrouten, nicht die API-Schlüssel-Oberfläche, da die Dashboard-Seiten weiterhin POST-/GET-Anfragen an diese URLs senden; wichtige Clients müssen /api/v1/magic-ai und /api/v1/brands. |
Wenn Sie ein Skript oder eine Backend-Integration schreiben, möchten Sie fast immer /api/v1/tiktok-shop/... sowie die oben genannten wenigen Routen, die nicht auf TikTok zu finden sind. Die gesamte Fläche ist in der API-Referenz sowie die Themenleitfäden (TikTok Shop, Meta-Anzeigenbibliothek, Marken usw.).
Überprüfen, ob der Schlüssel
Die kostengünstigste Methode für einen Smoke-Test ist GET /api/v1/tiktok-shop/credits — gibt den aktuellen Guthabenstand zurück und kostet 1 Credit:
curl -i \
-H "X-API-Key: $WH_API_KEY" \
"{origin}/api/v1/tiktok-shop/credits"
A 200 „with JSON“ bedeutet: Schlüssel gültig, Plan in Ordnung, Rate Limit und Credits beide in Ordnung. Bei jedem anderen Status siehe Fehler.
Sicherheitscheckliste
- Speichern Sie Schlüssel in Umgebungsvariablen oder einem sicheren Anmeldedatenspeicher – niemals in clientseitigem Code, mobilen Apps oder Browser-Bundles.
- Verwendung
X-API-SchlüsseloderBerechtigung: Inhaber, nicht den Abfrageparameter, wann immer dies möglich ist. - Bei jedem Vorfall, bei jeder Änderung der Teammitgliedschaft und mindestens einmal jährlich.
- Verwenden Sie Schlüssel nicht in verschiedenen Umgebungen – generieren Sie für jedes Dienstkonto einen eigenen Schlüssel und wechseln Sie diese unabhängig voneinander.