Magento 支持三种不同类型的授权方式： > - **Session**-**based authentication: 比较适合 JavaScript 中的 **widget。Magento 使用管理员或者用户的登陆状态来判断他们的身份并授权访问相应的资源。 > - **Token**-**based authentication**: 比较适合移动应用或者其他想要避免基于 OAuth 授权的复杂性的应用。要以 REST 的方式获取 token, 可以通过调用 `POST /V1/integration/customer/token` 或者 `POST /V1/integration/admin/token` 接口。调用成功会返回一个随机的 32 位长度的字符串，类似 `8pcvbwrp97l5m1pvcdnis6e3930n4rsj` ，这就是后续请求 API 接口需要用到的 token, 通过在请求头信息中以 `Authorization: Bearer <token>` 这种格式传递。 > - **OAuth**-**based authentication：适合第三方应用以用户的身份集成 Magento 中，不需要暴露用户 ID 和密码。Magento 管理员创建基于 **OAuth 授权的第一步是创建一个 integration （位于 **`System | Extensions | Integration | Add New Integration`** ） ，这里我们可以设置 **`Callback URL`** 和 **`Identity link URL`** 之类的选项。这些定义了接收 OAuth 凭证的外部应用。同时这些值指向作为 OAuth 客户端的应用。保存成功以后，对应的集成会自动创建 OAuth 需要的关键凭证，比如 Consumer Key、Consumer Secret 、Access Token 和 Access Token Secret。 <br />采用 OAuth 的授权方式超出了本教程范围，我们接下来的例子都会采用基于 token 的授权方式。<br />