抖音开放平台Logo
开发者文档
小程序
“/”唤起搜索
控制台
  • 开发教程与代码示例
  • 入门
  • 开发 Todo List 小程序
  • 小程序运行流程
  • JS API 调用指南
  • OpenAPI 调用指南
  • 获取调用凭证 Token
  • 小程序框架
  • 小程序运行时
  • 自定义组件
  • 基础教程
  • 能力教程
  • 性能优化
  • 安全

    • 获取调用凭证 Token

    收藏
    我的收藏
    Token 是一种用于身份验证和授权的加密字符串,本质是服务端颁发的数字凭证,用于验证请求合法性并控制资源访问权限。其核心价值包括:
      无状态化验证:服务端无需存储用户会话,通过 Token 即可验证身份。
      权限精细化控制:通过 Token 携带的 scope 字段限制接口调用范围。
      安全隔离:避免直接传输用户名 / 密码等敏感信息,降低数据泄露风险。
    在抖音开放平台,Token 是调用 API 的必需凭证,根据业务场景分为用户级、企业级、应用级 3 类。

    Token 类型及区别

    token 类型
    定义
    使用场景
    有效期
    是否需要用户授权
    client_token
    抖音开放平台颁发应用级凭证,用于验证小程序身份,访问无需用户授权的公共接口。
    获取小程序基础信息、管理消息模板等无需用户身份的操作。
    2 小时
    到期前需通过相同流程重新获取。
    ❌ 否
    access_token
    用户授权生成的用户级凭证,用于访问需要用户权限的接口(如用户数据、操作执行)。
    获取用户 openid、发送客服消息等需用户授权的操作。
    15 天
    到期前需通过 refresh_token 续期(refresh_token 有效期 30 天)。
    ✅ 是
    biz_token
    抖音开放平台颁发企业级凭证,用于验证企业资质,调用需企业权限的敏感接口。
    管理企业订单、处理私域用户消息等经营能力接口。
    30 天
    需定期审核企业资质(如营业执照、法人信息)。
    ✅ 是(企业授权)

    获取 client_token

    前提条件

      1.已在抖音开放平台注册并创建小程序。
      2.在控制台的开发 -> 开发配置页面中获取 AppID(client_key)和 AppSecret(client_secret)。

    获取流程

    说明
      安全存储:
      AppSecretclient_token 属于敏感信息,必须存储在服务端,禁止前端直接使用。
      建议使用加密存储(如 Redis + AES 加密)。
      有效期管理:
      client_token 有效期通常为 2 小时,需设置定时任务刷新。
      可通过 Redis 的 EXPIRE 命令自动管理过期时间。
    调用获取应用授权调用凭证向抖音开放平台发送请求,返回 client_token 及有效期。

    获取 access_token

    前提条件

      1.已在抖音开放平台注册并创建小程序。
      2.在控制台的开发 -> 开发配置页面中获取 AppID(client_key)和 AppSecret(client_secret)。

    获取流程

    说明
      安全存储
      AppSecretaccess_tokenrefresh_token 属于敏感信息,必须加密存储在服务端。
      建议使用 Redis 或数据库存储,关联用户 open_id
      有效期管理
      access_token 有效期通常为 2 小时,需在调用前检查有效性。
      refresh_token 有效期为 30 天,过期后需重新获取用户授权。
      1.前端调用 tt.login 获取用户授权 code
      2.服务端通过 codeapp_idapp_secret,调用获取用户授权调用凭证换取 access_tokenrefresh_token
      3.access_token过期后调用刷新用户授权调用凭证重新获取新的 access_token

    获取 BusinessToken

    前提条件

      1.企业资质认证需满足以下条件:
      a.抖音开放平台完成企业主体认证。
      b.提交营业执照、法人信息等资料。
      2.应用类型需满足以下要求:
      应用类型必须为 「企业应用」 或 「商家应用」。
      需在开放平台申请企业相关权限。
      3.在控制台的开发 -> 开发配置页面中获取 AppID(client_key)和 AppSecret(client_secret)。

    获取流程

    说明
      安全存储
      AppSecretbiz_token 属于敏感信息,必须存储在服务端,禁止前端直接使用。
      建议使用加密存储(如 Redis + AES 加密)。
      有效期管理
      biz_token 有效期通常为 30 天,需设置定时任务刷新。
      可通过 Redis 的 EXPIRE 命令自动管理过期时间。
      权限范围
      返回的 scope 字段表示当前应用被授权的企业接口范围。
      如需更多权限,需在开放平台提交权限申请。
      1.前端调用 tt.login 获取用户授权 code
      2.服务端通过 codeapp_idapp_secret,调用 code2Session 获取 openid
      3.服务端通过 openid、app_idapp_secret,调用 BusinessToken 生成获取 biz_token 及有效期。
      4.biz_token过期后调用 BusinessToken 刷新重新获取新的 biz_token