Magento 支持三種不同類型的授權方式： > - **Session**-**based authentication: 比較適合 JavaScript 中的 **widget。Magento 使用管理員或者用戶的登陸狀態來判斷他們的身份并授權訪問相應的資源。 > - **Token**-**based authentication**: 比較適合移動應用或者其他想要避免基于 OAuth 授權的復雜性的應用。要以 REST 的方式獲取 token, 可以通過調用 `POST /V1/integration/customer/token` 或者 `POST /V1/integration/admin/token` 接口。調用成功會返回一個隨機的 32 位長度的字符串，類似 `8pcvbwrp97l5m1pvcdnis6e3930n4rsj` ，這就是后續請求 API 接口需要用到的 token, 通過在請求頭信息中以 `Authorization: Bearer <token>` 這種格式傳遞。 > - **OAuth**-**based authentication：適合第三方應用以用戶的身份集成 Magento 中，不需要暴露用戶 ID 和密碼。Magento 管理員創建基于 **OAuth 授權的第一步是創建一個 integration （位于 **`System | Extensions | Integration | Add New Integration`** ） ，這里我們可以設置 **`Callback URL`** 和 **`Identity link URL`** 之類的選項。這些定義了接收 OAuth 憑證的外部應用。同時這些值指向作為 OAuth 客戶端的應用。保存成功以后，對應的集成會自動創建 OAuth 需要的關鍵憑證，比如 Consumer Key、Consumer Secret 、Access Token 和 Access Token Secret。 <br />采用 OAuth 的授權方式超出了本教程范圍，我們接下來的例子都會采用基于 token 的授權方式。<br />