亚马逊MWS授权被封号？

一、先说MWS是个什么东西？

亚马逊商城 Web 服务 (MWS)

?

developer..cn

这是亚马逊中国站MWS页面，【API与文档】菜单中例举了MWS支持的功能。

简而言之，除了卖家通过卖家后台对店铺进行管理，亚马逊也提供API接口供卖家或第三方软件服务商管理店铺。各位如遇到第三方软件需要你填写卖家ID的就属于这类。

二、为什么因为MWS被暂停销售权限（封号）

看到有些文章说亚马逊对于MWS提供了两种授权方式，我希望各位明确一点：亚马逊只提供了一种授权方式，只有一种，【卖家后台】->右上角【设置】->【用户权限】

三、泄漏开发者账号信息的风险

泄露开发者账号信息，即你向第三方软件服务商提供AWS 访问密钥 ID和密钥，实际软件开发中的命名是accessKey和secretKey。

3.1 第三方软件服务商可以用开发者账号做什么

答案是几乎所有你用卖家后台做的事，软件服务商都能干了。而且，他干了什么你还不知道！！！

比如下载你的所有Listing资料，订单数据，各类报表...卖给别人也好，出行业报告做分析也好，你是不会差距到的；

至少他还只能看？不不不，他可以改的，删了你的Listing都行，调价也可以，你能干的他基本都能干。

怕不怕？

3.2 为什么有些软件服务商需要你提供accessKey和secretKey？

亚马逊提供了正确的方式，是软件服务商自己注册开发者账号，然后卖家授权给该开发者账号，仅提供卖家ID、市场ID、authToken即可。

为什么部分无良软件服务商执意要卖家提供accessKey和secretKey？

服务商明明知道亚马逊禁止卖家向第三方泄露开发者账号信息！

因为软件服务商的开发者账号可能会被封！

所以，软件服务商就很放心...而卖家相当于把保险箱放在别人家了。

现在我注意看了下，开发者账号是可以关的，以前的版本，开发者账号关都关不了，因为亚马逊根本没想过居然有那么多人把这么重要的信息交给别人！？

国人真是逼亚马逊改变了很多...。

所以这次封号，根据业内人士总结，翻译一下，就是：

现在亚马逊上有买家数据泄露了，但是我们找不到是具体的泄露源，就观测到跟你这个账号有关，鉴于我们之前签的协议说你负全责，那现在先封你号，你再来给我坦白一下你都把账号交给了哪些我们不知道的第三方，我们再根据你的表现看看！

那么为什么会出现亚马逊监测不到的第三方账号呢？

这又要回到MWS账号本身，MWS卖家账号目前有两种访问方式：一种是卖家账号开发者权限，另一种是子账号授权方式。

卖家账号的开发者权限，指卖家账号权限是通过密钥（SECRET_KEY）的方式，以卖家身份访问API，密钥（SECRET_KEY）并没有设置有效期限，因为这个权限比较大，亚马逊后台会默认是卖家自己在操作这些行为，并且不允许卖家泄露给第三方服务商，因为这部分亚马逊无法进行有效监控，这就是我们说的终身权限。这里请注意，终身权限是无法有效监控到的。

而子账号授权方式，是通过第三方开发者账号进行授权（需要在亚马逊上以服务商主体注册开发者账号），是仅适用于网页应用和第三方开发商权限的授权字段，是在亚马逊的有效监控下进行的，会列明在MWS账号授权列表里，会有开发者注册的名称，这些授权是有访问权限及有效期的限制，过期后需要重新授权，虽然这种行为看起来比较繁琐，但是负责任、以客户安全为首要考虑的软件公司，就算麻烦，也只会让客户提供开发者权限的授权。而这些第三方软件的行为都是在亚马逊的合规范围内进行的，并且亚马逊可以有效的对这部分授权进行监控并管理。

这次大规模的账号封存大概是由于亚马逊发现最近有比较多的泄密行为，有些直接使用MWS卖家账号权限（即直接使用SECRET_KEY的方式）访问API的存在，脱离了亚马逊的监管。所以现在对这部分MWS卖家账号进行封存处理，并要求这部分MWS卖家提供泄漏过密钥（SECRET_KEY）的记录，找出非法使用卖家密钥（SECRET_KEY）的不正规服务商。同时这里也提醒卖家们，密钥很重要，不要轻易将密钥泄露给任何一个第三方机构。

如何知道第三方是亚马逊监控下的

那问题来了，怎么知道哪些是正规第三方软件呢？打开您的店铺，从setting—User Permission—Amazon MWS Developer Permissions 可以看到归属您名下的安全第三方软件的名称以及他们的授权期限。

而卖家在这次操作中，是可以查看到我们AMZ Tracker名下需要MWS授权的Rocket Reply、Reviewer Hunter、Sales Dashboard功能，而其他功能无需授权也可以使用，不存在MWS的问题。我们的客户们可以尝试一下。

什么样的店铺会被封？聊完原因，我们说说猜测；向第三方泄露了自己的MWS事务性信息和个人信息，正常来说，只会发生在工具授权方面，而市场上普遍的授权方式有提供MWS Auth Token和Access Key ID/Secret Key两种；我们来看一看亚马逊MWS服务对于这几种名词的解释：http://docs.developer./zh_CN/dev_guide/DG_RequiredRequestParameters.html<img src="https://pic3./50/v2-9606fb13d7659cb8f540088363592a22_hd.jpg" data-caption="" data-size="normal" data-rawwidth="400" data-rawheight="197" data-default-watermark-src="https://pic2./50/v2-6bb7e9824a59e375b779e0aac6403618_hd.jpg" class="content_image" width="400"/>从这样的名词解释中我们就可以很清楚的看到，使用MWS Auth Token进行授权，是仅适用于网页应用和第三方开发商权限的授权字段；而Access Key ID呢？是亚马逊MWS账户对访问权限的识别标志，使用该编码来查找您的访问密钥的；安全性来说，肯定是MWS Auth Token的授权方式对第三方工具的限制更大、也更安全！简单来说就是，假设我们卖家使用一个工具，授权给第三方，MWS Auth Token的方式授权，那么亚马逊会知道你是应用了某个第三方工具；而用Access Key ID授权给第三方，在第三方工具使用的时候，默认是卖家私人的执行行为，也就是直接通过MWS使用！哪些第三方软件是安全的？事实上，卖家是可以查看亚马逊官方上有显示接口的软件一般都是官方授权的安全软件，如：酷鸟卖家助手、紫鸟数据魔方等软件是亚马逊官方合作伙伴，不存在安全问题的，大家可以放心使用~