合肥研究院統(tǒng)一身份認(rèn)證平臺接入指南

1、合肥研究院統(tǒng)一身份認(rèn)證平臺接入指南平臺說明合肥研究院統(tǒng)一身份認(rèn)證平臺由信息中心研發(fā)維護(hù)，匯總研究院各類人員（職工、學(xué)生、自聘員工等）基礎(chǔ)信息，面向研究院各類業(yè)務(wù)系統(tǒng)，提供統(tǒng)一的用戶登錄和身份認(rèn)證服務(wù)。統(tǒng)一身份認(rèn)證平臺融合院ARP系統(tǒng)、科大學(xué)生系統(tǒng)、本地系統(tǒng)等多個數(shù)據(jù)源，打通科技云通行證、科大認(rèn)證系統(tǒng)、研究院企業(yè)微信等多個渠道，提供滿足研究院多類型需求的、一站式的系統(tǒng)服務(wù)。統(tǒng)一身份認(rèn)證平臺對接多個業(yè)務(wù)系統(tǒng)，集中解決賬號注冊、密碼設(shè)置、身份信息維護(hù)等問題，能夠顯著提升用戶體驗。統(tǒng)一身份認(rèn)證平臺為研究院每個用戶分配唯一的身份標(biāo)示，貫穿于各業(yè)務(wù)系統(tǒng)，能夠打破信息孤島，形成一致有效的信息流，便于實現(xiàn)跨業(yè)

2、務(wù)流程的統(tǒng)籌分析和綜合管理。接入步驟準(zhǔn)備條件接入系統(tǒng)應(yīng)已建設(shè)完成（或基本完成），在“系統(tǒng)注冊”環(huán)節(jié)提供運行（或預(yù)覽）鏈接地址，作為注冊審核的必要條件。若接入系統(tǒng)為網(wǎng)站，應(yīng)先完成網(wǎng)站備案。備案操作方法：“研究院企業(yè)微信-工作臺-審批-網(wǎng)站備案申請”。系統(tǒng)注冊填寫“研究院企業(yè)微信-工作臺-審批-統(tǒng)一身份認(rèn)證平臺接入申請”，確定系統(tǒng)名稱、簡介、回調(diào)地址等信息，經(jīng)系統(tǒng)負(fù)責(zé)人（或網(wǎng)站負(fù)責(zé)人）和處室領(lǐng)導(dǎo)審核后，由信息中心審核辦理。注冊完成后，平臺為系統(tǒng)分配id、secret等參數(shù)，作為接入平臺的憑證，請妥善保管并防止外泄，以避免系注冊信息被冒用。系統(tǒng)接入平臺按照標(biāo)準(zhǔn)OAuth 2.0協(xié)議，實現(xiàn)授權(quán)碼模式（

3、authorization code）下用戶對客戶端（即業(yè)務(wù)系統(tǒng)）的授權(quán)信息訪問流程。具體步驟如下：認(rèn)證鏈接。平臺認(rèn)證鏈接為 HYPERLINK /oauth2/authorize， /oauth2/authorize 同時接受客戶端編號（client_id）、客戶端狀態(tài)（client_state）和回調(diào)地址參(redirect_uri)參數(shù)，例如 HYPERLINK /oauth2/authorize?client_id=clientid&state=clientstate&redirect_uri=http:/yoursitepath/callback /oauth2/authorize?

4、client_id=clientid&state=clientstate&redirect_uri=http:/yoursitepath/callback平臺自動處理該鏈接請求，提示用戶是否同意授權(quán)該客戶端（即系統(tǒng)）。若用戶同意授權(quán)，則攜帶授權(quán)碼（以下簡稱為code）重定向至redirect_uri地址，例如http:/yoursitepath/callback?code=yourcode&state=clientstate。若用戶不同意授權(quán)，則關(guān)閉相關(guān)頁面，終止流程。平臺根據(jù)注冊信息，判斷client_id和redirect_uri的正確性，請保證該參數(shù)值與注冊信息一致。重定向平臺原值返回s

5、tate，以方便系統(tǒng)業(yè)務(wù)處理。另外，平臺暫只提供用戶基本信息授權(quán)訪問，所以scope默認(rèn)為basic，認(rèn)證鏈接中無需提供該參數(shù)（若提供，則被忽略）。獲取授權(quán)碼系統(tǒng)處理回調(diào)請求，提取code參數(shù)，即為用戶授權(quán)碼。換取令牌系統(tǒng)在后臺發(fā)送post請求至 HYPERLINK /oauth2/token /oauth2/token，攜帶客戶端id、secret、grant_type、code和redirect_uri參數(shù)信息，換取令牌（token）。例如：若參數(shù)正確，平臺返回令牌json數(shù)據(jù)，具體如下：若參數(shù)錯誤，平臺返回錯誤提示，具體如下：刷新令牌若令牌已過期，可使用refresh_token獲取新令

6、牌。與code換取令牌類似，請求 HYPERLINK /oauth2/token /oauth2/token，攜帶客戶端id、secret、grant_type、code和redirect_uri參數(shù)信息，刷新令牌（token）。例如：返回令牌信息或錯誤提示與上節(jié)一致。請求用戶信息系統(tǒng)請求/oauth2/userinfo，采用bearer認(rèn)證方式攜帶訪問令牌，獲取用戶信息。例如：若令牌正確，平臺返回用戶信息json數(shù)據(jù)，具體如下：若令牌錯誤，平臺返回錯誤提示，具體如下：系統(tǒng)注銷填寫“研究院企業(yè)微信-工作臺-審批-統(tǒng)一身份認(rèn)證平臺接入注銷”，確定系統(tǒng)名稱、注銷原因等信息，經(jīng)系統(tǒng)負(fù)責(zé)人（或網(wǎng)站負(fù)責(zé)人）和處室領(lǐng)導(dǎo)審核后，由信息中心審核辦理。注銷完成后，平臺系統(tǒng)分配的id、secret等參數(shù)立即失效，不再具有訪問平臺用戶信息的權(quán)限。注意事項用戶隱私保護(hù)平臺返回的用戶信息包括用戶姓名、郵箱、單位、部門等數(shù)據(jù)，屬于用戶隱私信息，請接入系統(tǒng)妥善處理，防止隱私數(shù)據(jù)濫用或外泄。網(wǎng)