鉴权说明
了解 Starbucks MCP API Key 的获取、使用、用户身份头与安全规范。
Server URL
https://uni.starbucks.com.cn/mcp-servers/starbucks
请求方式:POST JSON-RPC 2.0;建议 Accept: application/json, text/event-stream。
鉴权方式
Starbucks MCP 采用 Bearer Token 鉴权。每个请求都需在 HTTP Header 中携带:
Authorization: Bearer <your_api_key>
API Key 由用户在本网站 控制台 中自助创建,
形如 sk_xxxxxxxxxxxxxxxxxxxx。
缺少 Token
未携带或 Token 失效时,服务端返回:
HTTP/2 401
content-type: application/json
{"message":"missing token"}
用户身份头
下游工具(涉及订单、地址、会员等)会从请求头读取用户身份:
x-customer-id: <星享会员 customer_id>
x-user-id: <会员 user_id>
x-customer-id 与 x-user-id 二选一必传。在开放平台的接入模式下,
该头通常由网关在校验 Token 后自动注入,调用方无需关心。
调用示例
curl -X POST https://uni.starbucks.com.cn/mcp-servers/starbucks \
-H "Authorization: Bearer sk_xxx_your_token" \
-H "Content-Type: application/json" \
-H "Accept: application/json, text/event-stream" \
-d '{"jsonrpc":"2.0","id":1,"method":"tools/list","params":{}}'
API Key 管理
进入 控制台 / API Key 可以:
- 创建 —— 指定名称与有效期;
- 删除 —— 立即撤销,已签发的 Token 立刻失效;
- 查看 —— 仅展示 Key 前缀,明文密钥仅在创建瞬间展示一次。
Key 安全
- 切勿将 Key 写入前端代码或公开仓库;
- 推荐通过环境变量注入(如
STARBUCKS_MCP_TOKEN); - 一旦怀疑泄露,立刻在控制台删除并新建。
错误码(节选)
| HTTP | 含义 |
|---|---|
| 401 | Token 缺失或无效 |
| 403 | 用户身份缺失或越权(例如查询非本人订单) |
| 200 + JSON-RPC error | 业务级错误,按 error.code / error.message 处理 |