昨天出了一件大事兒，不用說各位老鐵都知道就是關於MWS授權問題引發大量賣家被封號的事情。很多人都在問我到底什麼情況，群裡也都炸開了鍋。說實話其實並不是啥大事，只是因為被過度炒作所以造成了整個行業的集體恐慌。

其實我最近真的很累，本想歇一歇再寫一個深度解析。但是問我的老鐵太多了，而且一個個都萬分焦急，不停的問我:

**工具咋樣？

**軟件安全不？

······

我一個個解釋太累，所以決定還是提前把這個事情解釋清楚，徹底解決行業的恐慌。

今天有看行業裡面很多公眾號都在更新關於MWS這一塊的事情。但是呢，多多少少都有一些問題。說白了就是不夠權威，不算特別有說服力，畢竟這東西牽扯到技術問題，其實已經超越了亞馬遜賣家的認知範圍了。所以，思來想去，我來講其實也不太合適，於是找到了一位曾經參與亞馬遜官方軟件-海麥助手開發的技術小哥哥（現在已經離職創業）來幫我們解釋一下這件事情的來龍去脈，以及真正的原因。目的很簡單，就是為了結束行業恐慌，大家該幹嘛幹嘛，謠言止於智者。

首先做個聲明：下面的這些文字解釋和圖片都是來源於這個亞馬遜海麥助手技術小哥哥和我的一個談話記錄，我稍微把他的觀點做了一個整理和歸納，做成了一篇比較通俗易懂的文章，請大家仔細認真看。目的也是盡我所能，幫助到大家。

下面的這些文字解釋和圖片都是來源於這個亞馬遜海麥助手技術小哥哥和我的一個談話記錄，我稍微把他的觀點做了一個整理和歸納，做成了一篇比較通俗易懂的文章，請大家仔細認真看。目的也是盡我所能，幫助到大家。

首先我們要知道的是，當我們通過亞馬遜後臺綁定一些工具軟件的時候，很多的第三方軟件，都會要求賣家提供開發相關的密鑰或者Token之類的東西，通常的服務商有兩種授權方式，準確來說是三種，但是第二種第三種相似度極高，所以算一種。

所以，我們歸納總結一下是兩種授權方式：

• A種授權方式

• B種授權方式

看完上面這兩種授權模式以後，有老鐵會問了，為什麼會有兩種授權方式呢？到底哪種方式更合理，更安全呢？

首先我們看下圖紅線部分：

從亞馬遜的幫助中心可以看到，MWS官方明文申明瞭，不要把自己的開發者憑證(access 和secrete Key)，發給任何人！！！

所以，A這種方式是完全錯誤的方式

錯誤點有以下幾點：

❂ Access和Secret Key給予第三方服務商後，他們可以在不告知你的情況下獲取你賬號的大部分數據及操作權限，導致Amazon數據被濫用，影響嚴重甚至導致封號。

❂ Access和Secret Key一旦生成無法在後臺自行修改，如果你把你的access 和secrete Key給過給任何第三方服務商，他將有權利一直獲取你的商業數據，你無法停用這個服務。

❂ 由於亞馬遜明文規定，不要將access 和secrete Key給任何人。你可以理解為access 和secrete Key是你主賬號的賬戶和密碼！可能會造成賬號關聯。

❂ 由於開發者權限很大，可以對listing進行修改，如果發現第三方服務商有問題，無法定位到具體是哪一家服務商造成的。

B這種授權方式是Amazon官方推薦的方式

使用B的好處：

❂ 方便管理

假如哪一天你不需要和這家第三方合作了，可以點擊Revoke按鈕。

如果採用第一種方式,假如你告訴了N家以A這種方式綁定的第三方，那麼一旦你找客服修改完憑證，所有的第三方工具功能都會失效。

❂ 安全：不會造成賬號關聯。

❂ 如果發現有異常情況，可以通過聯繫亞馬遜客服，定位到違規操作的第三方。因為每一次調用MWS的接口，都會返回一串ResponseCode.

既然大家都知道A種授權方式，是會被亞馬遜封號嚴打的。那麼B種授權方式的開通邏輯和方法是什麼呢！

進入如下鏈接:

https://sellercentral.amazon.com/gp/account-manager/home.html/

你可以點擊授權一個開發者的方式，將開發者提供給你的提供的開發者Id，和第三方的名字輸入到如下界面：

點擊Next後，你的後臺就會出現：

然後你再將Seller ID和Auth token提供給第三方工具，那麼你就可以使用他們的服務了。這種模式綁定是非常安全的，現在而且以後也不會有任何問題。

另外，B 種授權模式剛開通的時候，亞馬遜會默認給予這個第三方服務商1年的開發權限，如果到期，則它們不能再訪問您的任何數據，您使用它們的功能也會受到限制，當然第三方的軟件讓您感到非常滿意，您記錄一個鬧鐘，來提醒自己定期去給第三方軟件開發商刷新使用權限，點擊對應服務商的Renew access按鈕：

如果您對第三方的軟件不滿意，記得一定要點擊Revoke按鈕，就是可以直接解除綁定了。

看完上面小哥哥的解析，各位老鐵是不是有一種醍醐灌頂的感覺。所以我們應該避免用A種授權模式進行授權，而應該用B種模式進行授權。這樣就是絕對安全的。

我相信各位看完以後應該還有一些疑問，各位老鐵放心，我們好人當到底，下面我會做一個常見問題Q&A，幫助大家去更深刻的理解這個問題。

Question：我今天收到了警告信，被封號了，我應該如何申訴，找回我的賬號？

Answer: 大家可以看看我截圖的亞馬遜警告信，在警告信的末尾已經寫明瞭應該申訴的方式和要求。其實真的沒啥大不了的事，你按照下面的要求提供就行了，基本上是很快解封，而且提供這些材料也不難，畢竟不是發票那些東西，如實提供即可, 解封速度非常快:

Question：亞馬遜這麼做的目的是為了打擊中國賣家和工具軟件服務商麼？

Answer: 恰恰不是這樣，亞馬遜這麼做的目的是為了更好的保護中國賣家。其實你可以把封號理解為一種保護機制，就像之前你改了密碼發現賬號登錄不進去的原因一樣，都是亞馬遜的一種保護機制。所以這種解封都非常快，因為不是啥大事。真的不用恐慌。

• 至於工具這一塊，亞馬遜的確是要打擊某幾家的工具。主要原因是因為一些工具拿到了A模式的授權，然後做了很多踩紅線的事情，而且大量機房IP頻繁抓取數據引起了亞馬遜的額外注意。因為拿了A授權再頻繁拉數據，拉訂單信息就等於是你的賣家賬號被直接被大量IP ，頻繁登錄，這種當然會讓亞馬遜產生警覺，出於保護你的目的先把你的賬戶給關了。而且，亞馬遜在要求你寫POA的時候也是讓你供出這些軟件服務商到底是誰，目的也是把害群之馬揪出來，其實和當時打擊刷單比較像。

• 另外，如果以前有用過A種授權模式綁定的賣家。就一定會接到警告被封號麼？當然不是，比如市面上一些支付也是用了A種授權模式，但是各位老鐵不用太擔心，因為支付比較簡單，沒有太多的多餘動作和頻繁的拉數據訂單請求，所以到現在都沒有哪個賣家因為用了支付的問題，收到MWS濫用警告信封號的。

Question：作為賣家，我如何判定我之前用的是A種授權模式綁定，還是B種授權模式綁定？

Answer: 其實要判斷很簡單。很多賣家出事以後，都紛紛跑去後臺revoke解綁海量的第三方工具軟件。其實這麼做是沒有意義的。為啥這麼說呢？一般你能夠直接在後臺revoke解綁的，都是選擇B種方式授權的工具，本來就是非常安全的，你去解綁幹嘛呢？

那些有問題的，選擇A種授權的工具，在後臺是解綁不了的。因為A種授權是單向的。只要綁定以後就是終身的了，類似你把你自己的店鋪賬戶密碼給人家了。你自己根本就無法解綁。所以其實判斷很簡單，你只要能在後臺直接revoke的，其實都是非常安全的工具，完全不需要revoke。你自己解綁不了的，才是拿了你A種授權有安全隱患的工具軟件。

當然，你自己解綁不了不代表亞馬遜解綁不了。你可以通過開case聯繫amazon客服，重新重置刷新MWS密鑰，這樣以前所有用MWS密鑰對接亞馬遜的軟件都會斷開。

• 具體操作方法如下：

• 進入網站：
• https://sellercentral.amazon.com/gp/mws/contactus.html
• 然後在以下這個頁面可以聯繫更改Secret key

• 申請主題和意見建議這裡可以寫：因為一些原因，比如前員工離職，比如之前ERP開放合作方沒談妥等等，導致了AWS Access Key ID and Secret Key的洩露，所以要求亞馬遜update我們的AWS Access Key ID and Secret Key。這樣就OK了。

Question: 是不是隻要是用了A種方式授權的賣家，都會遭到封號的風險？

Answer: 這麼說肯定是不準確的，各位老鐵真的不用人人自危。畢竟業內一些主流的收款公司都是採取了A種授權模式，如果出事的話那就不是小範圍了，而是大範圍出事了。實在要是怕的話，你就開case要求update解綁即可。

那麼為什麼這些支付公司還是要通過A這種模式授權呢？ 當時我們也百思不得其解，後問過業內專業人士，加上我們推測，原因應該是：國內正規支付公司收款都受外管局監管，需要及時提供銷售數據才能申請結匯額度。使用B方案，由於存在撤銷授權、授權過期等風險，導致可能存在數據不完整的風險，所以支付公司一般使用了A方案比較多。而且支付公司相對來說比較正規，不會頻繁調用數據拉訂單，不會有太多違規操作，所以安全係數相對較高。

Question: 那些拿你A種授權的工具服務商，他們有什麼不可告人的秘密麼？

其實單純就數據權限來看，A種授權和B中授權所能獲取的賣家店鋪數據是一樣的。不論你授權了A還是B給服務商，服務商都可以看到你店鋪的任何數據。並不是像一些公眾號說的一樣，A種授權可以看到更多的數據。

那麼有些服務商拿了你A種授權有啥好處呢？有兩種原因：一種是服務商真的不太專業，自己都沒有搞清楚。第二種原因是A種授權綁定以後，就是終身的了，不會有一年到期的說法。而且賣家基本上擺脫不了這個服務商了，除非找亞馬遜開case重置，不然後臺也無法直接解除綁定revoke。因為A是單向綁定，而不是像B一樣是雙向綁定的。

第三種原因大家可以看下圖，簡單來說，第三方工具服務商，如果要做B方式完成授權，首先它自己，得有一個專業賣家賬號，第一種A方式授權就不需要。A請求的方式，亞馬遜會以為是賣家自己在操作MWS接口，因為亞馬遜明文寫出了，不允許告訴任何人自家的AWS Access Key ID 和Secret Key。而B方式告訴第三方服務商的只是token和Seller ID，Secret Key和AWS Access Key ID是第三方服務商自己的。如果亞馬遜發現有違規操作，封的是AWS Access Key ID對應的專業賣家賬號。所以，服務商選擇第一種A方式授權，可以省去很多麻煩，而且出了問題可以輕易甩鍋。

問題大概差不多是這些了，如果各位老鐵還有什麼問題，可以在評論區留言，大家一起討論交流。但是不要問我**軟件安不安全這種問題了，畢竟上面已經把這個問題剖析的那麼詳細了，各位老鐵應該都具備了判斷能力。

閱讀更多 Moss的精神家園 的文章

關鍵字: 軟件安全 大事兒 亞馬遜公司