Subotiz 的 开发者凭证 由系统自动生成,用于保障后台集成、API 请求签名 和 支付流程 的安全。凭证会在账户注册时自动创建,无需商户手动配置,可为后续的接口调用和支付集成提供稳定支持。
查看开发者凭证
- 进入开发者页面:登录 Subotiz 后台,前往 开发者 > 接入设置。
- 查看凭证字段:系统会显示 商户ID、访问号 和 访问密钥,这些字段均为只读,无法修改。
凭证字段说明
- 商户ID
- 用途:唯一的账户标识符,在账单、订阅、日志及系统集成中都会使用。
- 特性:由系统分配,无法更改。
- 使用建议:可在服务端调用或提交工单时引用,但避免暴露在公网链接或前端代码中。
- 访问号
- 用途:与 访问密钥 搭配,用于校验 API 请求签名(通常作为请求头参数发送)。
- 特性:只读,始终与对应的 访问密钥 成对存在。
- 使用建议:需存储在服务端,请求时与计算好的签名一同发送,便于接收方识别所使用的密钥对。
- 访问密钥
- 用途:私钥,用于生成请求签名,保障支付与订阅操作的安全。
- 特性:后台只读,属于高敏感信息。
- 使用建议:请勿写入网页、移动端或前端脚本,应仅存放在服务器或安全的密钥管理工具中。
安全使用规范
- 密钥集中管理:将访问密钥存放在加密的密钥管理工具或环境变量中,避免直接写入代码、截图保存或通过聊天工具传递。
- 限制后台权限:仅将【通用设置】页面的访问权限授予可信的技术角色。
- 区分环境管理:若有测试环境和生产环境,请分别存放对应凭证,并明确标注,避免混用。
- 定期审查权限:定期检查角色分配,及时移除无关人员的访问权限,降低泄露风险。
功能限制
- 只读属性:凭证无法在后台修改或重新生成。
- 固定一组:每个账户仅分配一套凭证,不支持生成多套或自定义凭证。
- 账户级别:凭证为账户级,适用于该账户下的所有系统集成。
Subotiz 的开发者凭证为商户提供了稳定、安全的系统级认证基础,用于 API 签名与支付集成。妥善保管访问密钥,控制后台访问权限,并在服务端完成调用处理,可有效保障合规与数据安全,确保支付流程的连续性与业务稳定运行。