来鼓2.0全新发布,诚邀体验!
接入说明
关于来鼓快速登录功能的说明
准备工作
appId和appSecret,可开始接入流程。授权流程说明
accessToken),通过accessToken可以实现来鼓内嵌页面数据访问。 来鼓 OAuth2.0 授权登录目前支持authorization_code模式,适用于拥有server端的应用授权。该模式整体流程为:1.
code参数;2.
code参数加上appId和appSecret等,通过API换取accessToken;3.
accessToken进行内嵌页面的访问,完成页面操作accessToken时序图:第一步:请求CODE
scope=oauth2_login),则可以通过在 PC 端打开以下链接: https://ai.laigu.com/oauth2/login?appId=APPID&redirectUri=redirectUri&responseType=code&scope=SCOPE&state=STATE 若提示“该链接无法访问”,请检查参数是否填写错误。参数说明
授权请求参数说明
| 参数名 | 是否必须 | 说明 |
|---|---|---|
appId | 是 | 应用唯一标识 |
redirectUri | 是 | 请使用 urlEncode 对链接进行处理 |
responseType | 是 | 填写 code |
scope | 是 | 应用授权作用域,拥有多个作用域用逗号(,)分隔,网页应用目前仅填写 oauth2_login |
state | 否 | 用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止 CSRF 攻击,建议第三方带上该参数,可设置为简单的随机数加 session 进行校验 |
返回说明
code值,目前有效期10min,然后重定向到redirectUri的网址上,并且带上code和state参数redirectUri?code=CODE&state=STATE若用户禁止授权,则不会发生重定向。
请求示例
state参数,跳转到 https://open.laigu.com/oauth2/login?appid=testappid123&redirectUri=https%3A%2F%2Fpassport.canvas.com%2Flaigu%2Fcallback.do&responseType=code&scope=oauth_login&state=3d6be0a4035d839573b04816624a415e 来鼓用户输入用户名密码并且确认登录后,PC端会跳转到 https://test.canvas.com/laigu/callback.do?code=CODE&state=3d6be0a4035d839573b04816624a415e第二步:通过code获取accessToken
code获取accessToken详细请求信息参考接口:get access token
第三步:刷新accessToken有效期
1、
appSecret是应用接口使用密钥,泄漏后将可能导致应用数据泄漏、应用的用户数据泄漏等高风险后果;存储在客户端,极有可能被恶意窃取(如反编译获取appSecret);2、
accessToken为用户授权第三方应用发起接口调用的凭证(相当于用户登录态),存储在客户端,可能出现恶意获取accessToken后导致的用户数据泄漏、用户来鼓相关接口功能被恶意发起等行为;3、
refreshToken为用户授权第三方应用的长效凭证,仅用于刷新accessToken,但泄漏后相当于accessToken泄漏,风险同上;4、如无特别业务需求,建议开发者自行管理业务登录态并合理设置过期时间,减少用户重新授权登录次数,优化用户体验。
建议将
secret、用户数据(如accessToken)放在 App 云端服务器,由云端中转接口调用请求。登陆流程
示例:https://ai.laigu.com/login?openCode=OPEN_CODE
修改于 2025-05-22 19:55:35