Получение IAM-токена для сервисного аккаунта

При работе с API MWS каждый запрос должен быть авторизован. Чтобы авторизоваться, нужно передать IAM-токен в заголовке запроса: Authorization: Bearer <IAM-токен>. Если в запросе отсутствует токен, вернется ошибка 400 Bad Request, а действие не будет выполнено.

Перед началом работы

Создайте сервисный аккаунт, если он еще не создан. Сохраните его идентификатор.
Создайте авторизованный ключ для этого сервисного аккаунта. Сохраните его идентификатор, а также файл с открытым и закрытым ключами.

1. Получите IAM-токен

Получить IAM-токент можно:

c помощью утилиты MWS CLI — самый простой способ;
с помощью JWT (JSON Web Token) — если вам нужно отслеживать весь процесс формирования токена в деталях.

С помощью MWS CLI
С помощью JWT

Если у вас нет утилиты MWS CLI, установите ее.
Создайте профиль для сервисного аккаунта, для которого нужно создать токен.
Выполните команду:
bash
```
1
 mws iam create-token
```

Токен будет выведен на консоль. Скопируйте и сохраните его, чтобы использовать в запросах.

JWT (JSON Web Token) — это компактный JSON-объект, в котором передаются данные между клиентом и сервером. В примерах в этом разделе в JWT передается информация о сервисном аккаунте, и на ее основе генерируется IAM-токен. JWT состоит из трех частей:

заголовок (header) в формате Base64Url;
полезная нагрузка (payload) в формате Base64Url;
подпись (signature).

Создать JWT можно с помощью сервиса jwt.io, а также с помощью библиотек для разных языков программирования: Python, Go, JavaScript, PHP и других.

Чтобы создать JWT:

Сформируйте заголовок (header). Для этого создайте JSON-объект, включающий следующие поля:
- alg — алгоритм шифрования (укажите ES256);
- typ — тип токена (значение всегда JWT);
- kid — идентификатор авторизованного ключа (например, auth-key-for-my-sa).
Пример:
json
```
1
{
2
  "alg": "ES256",
3
  "typ": "JWT",
4
  "kid": "auth-key-for-my-sa"
5
}
```
Сформируйте полезную нагрузку (payload). Для этого создайте JSON-объект, включающий следующие поля:
- sub — идентификатор сервисного аккаунта-владельца авторизованного ключа в формате projects/<project>/serviceAccounts/<serviceAccount>.
- exp — дата, до которой вы хотите ограничить срок действия JWT (в формате UNIX timestamp).
Совет
Преобразовать даты в формат Unix timestam можно в онлайн-сервисах unixtimestamp или epochconverter.

2. Начните использовать IAM-токен

При работе с API MWS передавайте IAM-токен в запросах в заголовке Authorization:

1
--header 'Authorization: Bearer <IAM-токен>'

Если для работы с API MWS вы используете Postman, то при выполнении запросов выберите тип авторизации Bearer Token и укажите значение IAM-токена.