有些时间没有更新博客了，博客的主题模板授权出了问题，直到昨天才完全恢复。说到授权这事，可以聊一聊跨境电商平台授权密钥这个话题。今天，在一个跨境电商QQ群里，看到有人在抱怨因为使用了某家跨境收款公司的收款服务，授权了平台访问密钥，导致信息泄露，然后，可能因为账号存在什么风险或者什么原因，收款公司就单方面给限制提现了。

先不去评价收款公司是否有这个不给提现的权利，这里说说Api授权的风险与防范。对于平台的授权访问密钥，大家一定不陌生，也是非常容易被大家忽略的话题。想一想，你在第三方ERP里处理订单时，在使用第三方收款公司服务、货代发货系统时以及第三方营销支持软件时，是否都被提示要求绑定平台访问授权密钥？是的，很多卖家想都不会去想一下，直接就绑定授权了。因为似乎不绑定就不能用了。我能理解大家对于这些服务的需求，包括我自己在内，也免不了会去授权绑定这些。可能大家并不了解API授权秘钥到底授权了哪些信息或权限给第三方了，为什么要授权，授权后又会有什么风险。

先说下这个授权的原理：

可以这么理解，你的平台店铺就相当于你的家，里面有客厅、卧室、卫生间，里面也有你的私人物品，而授权秘钥就相当于你家的大门钥匙。授权的这个过程，相当于你把钥匙给了这个第三方，然后，这个第三方就在你家每个房间都安装了高清视频监控，也包括卧室与浴室。他可以看到你的日常起居，洗澡睡觉，也可以在你不察觉的情况下任意进出你的家。

想想都觉得可怕。所以，这里也不排除一些所谓的第三方免费服务商私下窃取你的基本信息，你的产品信息，你的订单数据。而这些信息可以做什么呢？我们再想一想，你是否接到过来自一些从未联系过的服务商的推销邮件或者是电话？当你的产品热卖时，是否很快就变成了别人的爆款了？有时候，店铺莫名其妙出现一些并非由你执行的操作？或许，所有所有的根源就是来自这个授权之后。

不可忽视的授权风险：

对于平台店铺来说，当你完全授权给第三方时，意味着你的账号操作权限，账号里的产品信息、订单信息甚至包括你的公司基本信息都被开放给了第三方。

举例来说：如果您碰到一家即是卖家同时又免费提供ERP使用的公司，为了免费使用这个ERP，没得选，你必须将平台的API授权给这个ERP。如此一来，你的店铺就处于裸奔状态了。

他们能干什么？这就得看这个第三方的行业道德底线了。很显然，用道德来约束利益，似乎是个笑话。首先，你的信息可能会被提供给其他公司，这事似乎所有大公司都在干，包括移动电信这些，因为可以从海量数据中，提取出他们需要的目标客户信息，然后进行营销，所以你收到一些营销短信，也再正常不过了。对比其他行为，这还算不错的了。

因为有了数据访问权限，你的产品信息和订单数据自然也就完全开放了。所以，通过产品与订单数据分析，好的产品可能就被开发成服务商店铺的产品了，无意中，发现怎么又多了一个强有力的竞争对手了。

当然，别忘了，除了访问权限，还有个操作权限。操作权限，意味着可以新增修改删除产品，取消订单，修改账号信息等等，这事有点过了。一旦被恶意操作，账号将是万劫不复的那种。

如果规避与防范这个风险？

没什么好办法？就一句话，能不绑定就不绑定，不行就选别的服务商，实在要绑定，务必做好调查与评估，将风险降至最低。

举例来说：上面提到收款服务。

目前收款服务竞争已经进入白热化，有些公司会要求卖家提供店铺授权，有些则没有。

我就收点钱而已，收款公司提供收款账号，我在平台上绑定账号，平台按时发放货款，然后我再从收款公司提现到国内账号。整个过程跟平台绑定Api授权秘钥半毛钱关系都没有，为什么一定要我提供授权呢？

收款对于卖家来说是极为关键的一个环节，务必安全安全再安全。所以，不建议找任何要求提供店铺授权的收款公司进行收款。有些公司是强制要求，有些则是建议，有些则完全不需要。

同样，在Erp的选择上，也尽量选择口碑好的，尽量避免又做卖家又做Erp的服务商，有条件的，最稳妥的方法是自己开发Erp。对于很多大卖家来说，数据是其最宝贵的财富，数据的私密性与安全性亦是优先需要保障。所以，大部分大卖家都会自己开发ERP，绝不会向任何第三方进行API秘钥授权，这是底线，也是生命线，没有可谈余地。而对于中小卖家来说，做不到完全自主开发ERP，那么一次性购买ERP程序，安装在自己的服务器上，也是一种数据保护的方法。仍然无法接受的话，那么，有条件的进行部分权限设置，只提供部分功能访问授权，也是一种补救方式。