开始开发
1、企业服务平台提供了OAuth的授权登录方式,可以让从企业服务平台打开的网页获取成员的身份信息,从而免去登录的环节。
2、统一登录认证,主要对于企业用户主动进行验证,统一登录认证成功后,会返回access_token,是携带企业用户信息(用户id),这个是关键区别,企业内部系统间互相访问时,接口可以通过access_token获取到当前请求的用户信息(用户id)和应用系统信息(oa系统)。
3、应用系统可以使用refresh_token对access_token进行刷新,续期使用,这样就无需重新登录获取用户授权。
4、企业服务平台和接入的企业内部应用系统的请求,均可通过access_token来获取成员的身份信息。
OAuth2.1简介
OAuth2.1的设计背景,在于允许用户在不告知第三方自己的账号密码情况下,通过授权方式,让第三方服务可以获取自己的资源信息。 详细的协议介绍,开发者可以参考The OAuth 2.1 Authorization Framework,以及OpenID Connect Core 1.0 incorporating errata set 2。
统一登录(OAuth2授权码模式)接入流程
redirect_uri需要先配置至应用的“跳转地址”,否则跳转时会提示“redirect_uri不正确”。 要求配置的可信跳转地址,必须与访问链接的跳转地址完全一致;若访问链接URL带了端口号,端口号也需要登记到可信跳转地址中。
关于用户ID机制
UserId用于在一个企业内唯一标识一个用户,通过网页授权接口可以获取到当前用户的用户Id信息,如果需要获取用户的更多信息可以调用开放平台接口来获取。
静默授权与手动授权
静默授权:用户点击链接后,页面直接302跳转至 redirect_uri?code=CODE&state=STATE
手动授权:用户点击链接后,会弹出一个中间页,让用户选择是否授权,用户确认授权后再302跳转至 redirect_uri?code=CODE&state=STATE
构造网页授权链接
链接及参数说明
请求地址:
生产环境:https://esp.xkw.cn/oauth2/authorize
沙箱测试环境:https://esp.doc.xkw.cn/oauth2/authorize
应用系统需要获取用户的身份信息,第一步需要构造如下的链接来获取code参数:
https://esp.xkw.cn/oauth2/authorize?client_id=CLIENT_ID&response_type=code&scope=openid&redirect_uri=REDIRECT_URI
参数说明:
| 参数 | 必须 | 说明 |
|---|---|---|
| client_id | 是 | 应用的client_id |
| redirect_uri | 是 | 授权后重定向的回调链接地址,需要对嵌套的查询参数进行URL编码,还要对完整的回调链接地址进行URL编码 |
| response_type | 是 | 返回类型,此时固定为:code |
| scope | 是 | 应用授权作用域,此时固定为:openid |
| state | 否 | 重定向后会带上state参数,企业可以填写a-zA-Z0-9的参数值,长度不可超过128个字节 |
员工点击后,页面将跳转至 redirect_uri?code=CODE&state=STATE,应用系统可根据code参数获得员工的userid。code长度最大为512字节。
例子说明
比如应用系统client_id:oa
访问链接跳转地址:https://oa.xkw.cn/login/oauth2/code/messaging-client-oidc
根据URL规范,将上述参数分别进行UrlEncode,得到拼接的OAuth2链接为:
https://esp.xkw.cn/oauth2/authorize?client_id=oa&response_type=code&scope=openid&redirect_uri=https%3A%2F%2Foa.xkw.cn%2Flogin%2Foauth2%2Fcode%2Fmessaging-client-oidc
注意,构造OAuth2链接中参数的redirect_uri是经过UrlEncode的
员工点击后,页面将跳转至
https://oa.xkw.cn/login/oauth2/code/messaging-client-oidc?code=dmSbK5oR3TvlcaxIICLRgyudmOwsQP4voo9vmsyIVrXhEL-fm1ESMO-yJUcTZraAugdbIYWbiPST9g1VysPJhQeQyLkyx2A4S-hnhnJOnR8rWnZtmzGH3b2Ty7aBCKaf&stage=应用系统可根据code参数获取access_token,id_token
使用code获取access_token,id_token
请求方式:POST(HTTPS) Content-Type: application/x-www-form-urlencoded
请求地址:
生产环境:https://esp.xkw.cn/oauth2/token
沙箱测试环境:https://esp.doc.xkw.cn/oauth2/token
参数说明
详细说明开发者可以参考The OAuth 2.1 Authorization Framework
| 参数 | 必须 | 说明 |
|---|---|---|
| grant_type | 是 | 当前值为authorization_code |
| redirect_uri | 是 | 应用系统回调地址,与构造网页授权链接中的值要一样,最后一次URL编码前的完整回调地址 |
| code | 是 | 授权获取到的code,最大为512字节。每次成员授权带上的code将不一样,code只能使用一次,5分钟未被使用自动过期。 |
| client_id | 是 | 企业服务平台分配的client_id |
| client_secret | 是 | 企业服务平台分配的client_secret |
返回结果
| 参数 | 说明 |
|---|---|
| access_token | 访问令牌,调用开放接口的凭证 |
| refresh_token | 刷新令牌,在refresh_token有效期内,都可以对access_token进行刷新 |
| scope | 授权范围,返回构造的授权链接请求中的scope |
| id_token | ID令牌,jwt格式,使用企业服务平台的公钥进行签名验证,开放公钥:https://esp.xkw.cn/oauth2/jwks |
| token_type | token类型 |
| expires_in | access_token有效期,单位为秒 |
| error_description | 错误描述 |
| error_code | 错误码 |
| error_uri | 错误详细说明地址 |
a) 成功返回示例如下:
{"access_token": "eyJraWQiOiJjM2Q2ZDAxYiIsInR5cCI6IkpXVCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiJ4eTA3NjE5IiwiYXVkIjoib2EiLCJuYmYiOjE3MTA0ODM1MDQsInNjb3BlIjpbIm9wZW5pZCJdLCJpc3MiOiJodHRwczovL2VzcC5kb2MueGt3LmNuIiwiZXhwIjoxNzEwNDgzODA0LCJpYXQiOjE3MTA0ODM1MDR9.KMjDHYIzpNiuX5O6T9MhgEhr0JDThJdWDBjSVlsGHk6YrTMRqNyMbuNS-Ws9kbxM_7klZD-qypUawOHSACRWh22fk9MNmbnIhd5Zwv4TYStwSmgY2Kt3bPi3LQMZA90_nTg_pSDxNZmaOyfV1XJj5GhvUSmd4V9j_N1i_bhBp45eIIFDgAJAwcnXhOkP7xyA8YZJOomzGL3d7j_7FzAgG-U85whKLl9QLQbOBadZvQXmd0KG9vEB1VOiATeXdpxs_ojgTfNgF8lrnQwRl_NYXlMlKck-VNn6uf-cb2zqnWU0z2DhLo5vIg9wqLZsn2ztV2nzEoeoZkvwwHEqI7V4RQ","refresh_token": "QETBCcijNppU_g9iQA1pO3BHqZ2CW3RReelBvlvouZvo-2bO4d0fJDUNK04CHhceXaBB9m3b-IXXrdlBdlzoBBe_c2nZ355es7xjQiBqhv1F9bRT_l9HNrKYCiP1QbDX","scope": "openid","id_token": "eyJraWQiOiJjM2Q2ZDAxYiIsInR5cCI6IkpXVCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiJ4eTA3NjE5IiwiYXVkIjoib2EiLCJhenAiOiJvYSIsImF1dGhfdGltZSI6MTcxMDQ4MzUwNCwiaXNzIjoiaHR0cHM6Ly9lc3AuZG9jLnhrdy5jbiIsImV4cCI6MTcxMDQ4NTMwNCwiaWF0IjoxNzEwNDgzNTA0LCJzaWQiOiJlbG52czRnclNmd1ZtM2dxMjhWbnNlaEFhVmJib2QxandscmJqUERIc3M0In0.NGfTkjpFTiuXfqSdHGWVO_1XnKOicfa25yQ2xHqeJtPUU0AHMmrxet-gcPV2F02Y6svbY2cXmrbEaQJu34ZFkoGlMM45Tl-ulSlWoNRc-rlCETOzZb3Kz5YHMD-Jt845IhIz8xX7PARMBPqlYl66Ak0GHhy9ZT14FxQNmcBLKRj8Ip17ekDIUcFAPzY-NQnXu2yirxUPRwgL4pPI6ryEA9w1h-ESnlM2daZV0RGtpZS9rUcN9ngCi9sO0vanGlYi-yiAy8XTK2JF8nnVf3SJP8srlmgQt5gyBjm31tPSYlfbUJeFiN2NxYqYOqJscgdGmHhOVhs3cbWNYonzmZ-deg","token_type": "Bearer","expires_in": 299}
b)失败返回示例如下:
{"error_description": "code不正确","error_code": "100031","error_uri": "https://esp.xkw.cn/doc/error?q=error_code"}
获取用户ID
查看id_token内容
可以使用jwt解码工具进行内容查看
从右边解码内容,可以看出通过oa应用系统构造的授权链接请求,用户:xy07619,企业服务平台的相关信息,包括加密算法,公钥等;
解析jwt内容,获取用户id
按jwt规范进行内容解析,也可以通过jwt第三方库进行解析,获取payload中的sub值,就是用户id。
注意:在必要情况下,可以使用企业服务平台公钥进行签名验证,验证通过后,再解析内容,对其他信息进行验证,比如授权时间,开始时间,过期时间等;
调用接口
企业服务平台和接入的企业内部应用系统的接口请求,均可通过access_token来获取成员的身份信息。
查看access_token内容
这里就要使用到时返回的access_token,解析后内容如下:
以上access_token跟id_token的内容有些区别,接口调用方不需要验证,如果需要调用企业服务开放接口或企业内部应用系统时,由对接的应用系统(接口提供方,详情查看“开放接口”说明文档)在接收到请求时,使用平台公钥进行验证;
授权范围说明
以上内容解析出来,scope值仅仅是openid,只是一个例子,可以为空,目前企业服务平台仅认证,不授权。后续升级使用会统一通知。
调用方Token缓存机制
接口返回access_token有效期为expires_in,单位是秒,调用方要做好token的缓存处理,
缓存时间 = expires_in - 60 * 10
缓存时间只要将平台返回的expires_in减去10分钟即可。
注意:不要频繁请求获取access_token,以免被限流控制;
调用方接口请求
在http请求的header部分,增加以下内容,key为Authorization,value为"Bearer " + access_token值
| key | Value |
|---|---|
| Authorization | Bearer eyJraWQiOiJjM2Q2ZDAxYiIsInR5cCI6IkpXVCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiJ4eTA3NjE5IiwiYXVkIjoib2EiLCJuYmYiOjE3MTA0ODM1MDQsInNjb3BlIjpbIm9wZW5pZCJdLCJpc3MiOiJodHRwczovL2VzcC5kb2MueGt3LmNuIiwiZXhwIjoxNzEwNDgzODA0LCJpYXQiOjE3MTA0ODM1MDR9.KMjDHYIzpNiuX5O6T9MhgEhr0JDThJdWDBjSVlsGHk6YrTMRqNyMbuNS-Ws9kbxM_7klZD-qypUawOHSACRWh22fk9MNmbnIhd5Zwv4TYStwSmgY2Kt3bPi3LQMZA90_nTg_pSDxNZmaOyfV1XJj5GhvUSmd4V9j_N1i_bhBp45eIIFDgAJAwcnXhOkP7xyA8YZJOomzGL3d7j_7FzAgG-U85whKLl9QLQbOBadZvQXmd0KG9vEB1VOiATeXdpxs_ojgTfNgF8lrnQwRl_NYXlMlKck-VNn6uf-cb2zqnWU0z2DhLo5vIg9wqLZsn2ztV2nzEoeoZkvwwHEqI7V4RQ |