API 参考
1. 基本概念
1.1 API 概述
1.2 APP Key & APP Secret
APP Key
APP Secret
APP Secret 代表了你的应用的所有权限,一旦泄露,他人就可以冒充你的应用访问或操作数据。建议将其存储在服务器端等安全环境,避免在前端网页、移动App等客户端直接使用。
1.3 访问凭证(Access Token)
Authorization 字段中携带该访问凭证,以便获取权限范围内的资源信息。这是最常用且安全性更高的方式。通过调用新核云认证 API,使用
APP Key 和 APP Secret 换取。Refresh Token 重新获取。一种简化集成的凭证,可在开放平台控制台中手动创建。
APP Secret 一样严格保管。出于安全考虑,强烈建议优先使用标准的、有有效期的 Access Token。仅在充分评估安全风险后,且确有必要时才考虑使用永久 Token。无论使用哪种 Token,都必须通过 HTTPS 发起请求,并确保凭证的存储安全。
永久 Access Token 代表了您应用的所有权限。请勿将其嵌入前端代码、客户端应用程序或公开的仓库中。建议将其存储在安全的服务器环境或配置管理系统中,并定期审计其使用情况。
1.4 刷新凭证(Refresh Token)
1.5 流程图
2. API 调用规范与参数
2.1 获取访问凭证(认证 API)
2.1.1 请求示例
{
"body": {
"appKey": "123344sasdasd",
"appSecret": "!asdDAsdsdFj7aaa]PX@"
}
}2.1.2 响应示例
{
"code": 0,
"message": "",
"data": {
"entity": {
"accessToken":"eyJhbGciOiJIUzI1NiJ9.eyJ0ZW5hbnRJZCI6ImE5AAAAmUyLTlkNmEtNDkwNS1iZWQyLTQwMDg0OGJkMzM0OCIsImlzcyI6Im9wZW4tYXBpIiwiZXhwIjoxNzE5NDUzODk0LCJpYXQiOjE3MTk0NDY2OTQsInN0YWZmSWQiOiIxMDAwMTQ2NSJ9.a-ZAfOpIDSFx45UR3x2TfLQmCYZvGkeq9-iBP8ZvBO8",
"accessTokenExpireIn": 7200,
"refreshToken": "eyJhbGciOiJIUzI1NiJ9.eyJ0ZW5hbnRJZCI6ImE5NGRlYmUyAcsbadaNDkwNS1iZWQyLTQwMDg0OGJkMzM0OCIsImlzcyI6Im9wZW4tYXBpIiwiZXhwIjoxNzIyMDM1Mjk0LCJpYXQiOjE3MTk0NDY2OTR9.xyz789abc456def123ghi0",
"refreshTokenExpireIn": 2592000
}
}
}生成 Token 和刷新 Token 的接口有访问频率限制,如果调用频繁,会被禁用掉。所以这里开发者要根据 Token 的过期时间来控制好 Token 的生成或者刷新机制。
2.2 API请求规范
2.2.1 基础URL
2.2.2 通用 HTTP Headers 结构
curl '<http://c2.xinheyun.com/api/open/v2/items/query>' \\
-H 'Connection: keep-alive' \\
-H 'Accept: application/json, text/plain, */*' \\
-H 'Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ0ZW5hbnRJZCI6ImE5AAAABBccddLTlkNmEtNDkwNS1iZWQyLTQwMDg0OGJkMzM0OCIsImlzcyI6Im9wZW4tYXBpIiwiZXhwIjoxNTk5NDUzODk0LCJpYXQiOjE1OTk0NDY2OTQsInN0YWZmSWQillIxMDAwMTQ2NSJ9.a-ZAfOpIDSFx45UR3x2TfLQmCYZvGkeq9-iBP8ZvBO8'
--data-binary '{"name":"","start":0,"length":10000}' \\
--compressed \\
--insecure2.2.3 通用请求体结构
2.2.4 请求代码示例 (查询生产单工序 API)
2.2.5 频控策略 (Rate Limiting)
| 控制维度 | 限制阈值 | 等效频率 | 规则说明 |
|---|---|---|---|
| 日调用总量 | 86,400 次/24小时 | 平均每秒 1 次 | 24小时滚动窗口计算 |
| 分钟级并发 | 600 次/分钟 | 平均每秒 10 次 | 1分钟滚动窗口计算 |
请注意:限流计数采用滚动窗口算法,不会在固定整点(如每日零点或每分钟开始时)重置。请根据实际业务需求合理规划 API 调用节奏。
2.2.6 IP白名单
功能特点
192.168.1.0/24)。配置方法
登录
登录新核云开放平台,进入应用列表,查看路径:开放平台 → API → OAuth 客户端。
添加 IP 地址
添加需要允许访问的 IP 地址或网段,格式示例:192.168.1.1,192.168.1.2,中间用逗号分隔。
保存配置后立即生效
注意事项
错误响应
401 Forbidden 错误:{
"code": 401,
"message": "IP address not in whitelist",
"data": null
}重要: 在启用 IP 白名单前,请确保已将您自己的服务器 IP 地址添加到白名单中,否则可能导致服务中断。建议先在测试环境验证配置,再应用到生产环境。
对于动态 IP 或云服务器环境,可以考虑使用域名而非固定 IP,但需确保域名解析的 IP 范围在可控范围内,或使用网络代理层进行集中访问控制。
3. 错误处理与调试
3.1 通用HTTP错误码
错误码 | 含义 | 注意事项 |
|---|---|---|
| 200 | 请求成功,服务器正常返回数据 | 需检查响应具体内容是否符合预期(如数据完整性、格式正确性); 部分 API 可能返回 200 但附带警告信息(如部分字段缺失) |
| 401 | 权限不足,请求被拒绝 | 常见原因: 认证信息无效(如过期 Token、错误 API Secret); 用户角色无权限访问目标资源; IP 白名单限制。 处理建议: 检查访问凭据状态; 认用户权限范围(如是否为管理员); 请��联系新核云技术人员。 |
| 403 | 禁止访问,请求被服务器拒绝 | 常见原因: 应用权限不足(如未授权访问该API); 资源操作越权(如普通用户尝试管理员操作); APP Key/Secret 验证失败; 访问频率超限。 处理建议: 检查应用权限配置; 确认请求参数和身份凭证正确性; 降低调用频率或申请更高配额; 联系管理员调整权限范围。 |
| 404 | 请求的资源不存在 | 常见原因: URL 路径拼写错误资源已被删除; 未正确初始化资源(如未创建对应 ID 的记录)。 处理建议: 检查请求的 URL 路径和参数; 确认资源 ID 是否存在(如先调用 GET /users 获取列表); 对客户端输入进行校验(如 UUID 格式)。 |
| 500 | 服务器内部错误(非客户端责任) | 常见原因: 服务端代码异常(如空指针、数据库死锁); 依赖服务不可用(如支付网关故障); 超时或资源耗尽。 处理建议: 请联系新核云技术人员。 |
3.2 调试技巧:查看API调用日志
4. 获取帮助
修改于 2025-09-26 08:55:31