一、错误产生的核心原因 #

这个错误本质是身份验证失败，常见触发场景包括：

• 使用的API凭证（密钥/密码）不正确或已失效
• 凭证在URL中的格式有误（比如特殊字符未编码）
• 应用没有被授权访问订单数据的权限
• 店铺域名拼写错误

二、URL中的token和pass到底是什么？ #

绝对不是你的Shopify店铺账号密码！这里的两个参数对应Shopify私应用的专属凭证：

• {{token}} = API密钥（API Key）：Shopify为你的私有应用分配的唯一标识
• {{pass}} = API密码（API Password）：和API密钥配对的验证密码，用于完成HTTP基础认证

三、找不到对应密码？教你正确获取凭证 #

你找不到是因为找错地方了，正确路径是：

1. 登录Shopify店铺后台，进入「应用」→「管理私有应用」
2. 如果还没有私有应用，点击「创建私有应用」，填写应用名称和联系人邮箱
3. 在「Admin API权限」里，把「订单」权限设置为「读」或「读/写」（根据你的需求）
4. 保存后，就能在页面上看到API Key和Password这两个字段，直接复制即可

注意：如果是Shopify Partner后台创建的自定义应用，需要生成「访问令牌」，但这种场景下不适合用URL里的key:pass格式，建议用Bearer Token认证。

四、密码需要编码吗？ #

必须！如果你的API密码包含特殊字符（比如@、&、%、+等），直接放在URL里会被浏览器/Postman解析成URL分隔符，导致凭证被截断或识别错误。

• 编码方法：把特殊字符换成对应的URL编码，比如@→%40，&→%26
• 更省心的方式：直接用Postman的「Authorization」选项卡，选择「Basic Auth」，然后输入API Key和密码，Postman会自动帮你编码并生成正确的请求头，比手动写URL靠谱多了

五、快速排查解决方案 #

按以下步骤逐一验证：

• 核对凭证：复制粘贴时不要多带空格或换行，确保API Key和Password完全匹配Shopify后台的内容
• 检查URL格式：确认域名是your-store.myshopify.com（不要加多余的www或后缀），路径是/admin/orders.json
• 切换认证方式：放弃在URL里写凭证，改用Postman的Basic Auth功能
• 验证权限：回到私有应用设置页，确认订单权限已开启，且应用状态是「激活」的
• 测试小请求：先调用/admin/shop.json这种基础接口，确认凭证有效后再调用订单接口

内容的提问来源于stack exchange，提问作者Ankit Jain