Система авторизации WB API
Типы токенов, сервисный секрет и принцип разделения доступа
Дата обновления: 06.04.2026
Как устроена авторизация
Для работы с WB API необходимо пройти авторизацию — подтвердить, что у вас есть право доступа к данным магазина. Авторизация выполняется с помощью токена, который передаётся в заголовке каждого запроса:
Authorization: Bearer ваш_токен
Система авторизации WB API построена на принципе разделения доступа. Доступ контролируется на трёх уровнях:
- Тип токена определяет сценарий использования: для собственных программ, облачных сервисов или тестирования
- Категории данных ограничивают доступ конкретными разделами API: контент, заказы, аналитика и другие
- Уровень доступа задаёт режим работы: только чтение или чтение и запись
Такая структура минимизирует риски: даже при утечке токена злоумышленник получит доступ только к ограниченному набору данных в рамках выбранных категорий.
Типы токенов
WB API использует четыре типа токенов. Каждый предназначен для конкретного сценария:
| Тип | Для чего | Ключевое ограничение |
|---|---|---|
| Персональный | Собственные программы, on-premise решения (локальная 1С, ERP) | Запрещено передавать третьим лицам и облачным сервисам |
| Сервисный | Облачные сервисы из Каталога решений | Привязан к конкретному сервису |
| Базовый | Остальные случаи, сервисы не из Каталога | Ограниченный набор категорий, сниженные лимиты |
| Тестовый | Разработка и отладка в песочнице (sandbox) | Нет доступа к реальным данным |
Подробнее о каждом типе, включая сравнение и рекомендации по выбору — в статье «Способы подключения к WB API: токен и OAuth 2.0». Если не уверены, какой тип вам подходит — воспользуйтесь статьёй «Облачный сервис или локальное решение».
Общие правила
Все токены WB API подчиняются единым правилам: действуют 180 дней, показываются один раз при создании, создаются и удаляются только владельцем кабинета. На один магазин можно создать до 20 активных токенов.
Пошаговые инструкции по созданию, обновлению и удалению — в статье «Как создать, обновить или удалить токен WB API». О том, какие категории данных выбрать при создании — в статье «Категории данных WB API».
Как проходит авторизация запроса
Когда ваша программа отправляет запрос к WB API, система выполняет несколько проверок:
1. Наличие и целостность токена. API проверяет, что заголовок Authorization содержит токен в формате Bearer <токен> и что токен не повреждён. Если токен отсутствует, обрезан или имеет некорректную структуру — возвращается ошибка 401.
2. Срок действия. Проверяется, не истекли ли 180 дней с момента создания. Если токен просрочен — ошибка 401 с описанием token expired.
3. Статус токена и кабинета. Проверяется, что токен не был отозван и что кабинет продавца активен. Если владелец кабинета сменился или кабинет заблокирован — ошибка 401.
4. Категория данных. Проверяется, что токен имеет доступ к категории, к которой относится вызываемый метод. Например, для работы с заказами нужна категория «Маркетплейс». Если категория не совпадает — ошибка 403.
5. Уровень доступа. Для методов, изменяющих данные (POST, PUT, DELETE), проверяется, что токен создан с правом «Чтение и запись». Токены «Только чтение» не могут выполнять модифицирующие операции — ошибка 403.
6. Тип токена. Персональные токены не работают через облачные сервисы, Сервисные — только с тем сервисом, для которого созданы. Несоответствие типа — ошибка 403.
Если все проверки пройдены — API обрабатывает запрос и возвращает результат.
Подробный разбор ошибок 401 и 403 с решениями для каждого случая — в статье «Ошибки авторизации WB API и их решение».
Два способа подключения
Помимо ручного создания токена, для облачных сервисов из Каталога решений доступно подключение через OAuth 2.0 — продавец подтверждает доступ в интерфейсе, токен генерируется и обновляется автоматически. Подробнее о сравнении обоих способов — в статье «Способы подключения к WB API: токен и OAuth 2.0».
Сервисный секрет для партнёрских сервисов
Сервисы из Каталога решений обязаны подписывать запросы специальным сервисным секретом — уникальным идентификатором сервиса, который подтверждает его подлинность. Секрет передаётся в заголовке X-Client-Secret в дополнение к токену продавца:
Authorization: Bearer токен_продавца
X-Client-Secret: сервисный_секрет
Секрет выдаётся при регистрации в Каталоге решений и действует 180 дней. Выпустить новый или удалить существующий секрет можно в Профиле компании на портале.
Подробнее о работе с токенами продавцов, проверке типа токена и обработке ошибок — в статье «Работа с токенами для партнёрских сервисов».
Проверка и диагностика токена
Если интеграция возвращает ошибки, первый шаг — проверить токен. WB API предоставляет инструмент декодирования, который показывает тип, срок действия, доступные категории и статус токена.
Подробнее — в статье «Декодирование и проверка токенов WB API».
Куда обращаться за помощью
- Проблемы с авторизацией → проверьте токен в инструменте декодирования, затем ознакомьтесь со статьёй «Ошибки авторизации WB API и их решение»
- Как защитить данные → рекомендации в статье «Безопасность данных продавца при работе с WB API»
- Вопросы по API → создайте обращение в поддержке продавцов Wildberries, категория «Интеграции по API»
- Вопросы по сервисному секрету → business-solutions@rwb.ru