鉴权与统一登录

统一单点登录

1. 统一登录页面url: https://cloud.industry.com/oauth/login?client_id={client_appid}&redirect_uri={client_redirect_uri}&response_type=code

2. 统一登录页判断client_redirect_uri是否在应用注册的重定向域名下，如果满足域名约束且用户输入正确的用户名密码后，统一登录页重定向到地址{client_redirect_uri}?code={code}

3. 应用接入方在client_redirect_uri根据uri里的code参数, 自己的client_appid, client_appsecret请求https://cloud.industry.com/oauth/access_token接口，获取access_token(详见应用登录流程)

4. 应用根据access_token，即可调用工业云账号系统的全部API

注意：
access_token是企点api的全局唯一接口调用凭据，调用各api时都需使用access_token，开发者需要进行妥善保存。
access_token的存储至少要保留140个字符空间。
access_token的有效期目前为2个小时，需定时刷新。

统一单点登录前置条件

要接入统一单点登录的应用，首先申请应用client_appid(又称login_appid)和appsecret，并设置授权回调域名(client_redirect_uri)。 工业云内部应用应前往应用注册入口申请注册。

接入工业云的第三方应用应前往工业云Boss，由Boss系统代为申请。

业务场景: 用户在网页授权页同意授权给应用后，工业云会将授权数据传给一个企业指定的回调页面（client_redirect_uri），回调页面需在此域名下，以确保安全可靠。

注意事项

1、回调页面域名或路径需使用字母、数字及"-"的组合，不支持ip地址、端口号及短链域名。填写的域名或路径需与实际回调url中的域名或路径相同。需要首先使用该接口设置网页授权成功后跳转的地址域名。

请注意，这里填写的域名不要加"http://" 或者"https://"

2、授权回调域名配置规范为全域名(FQDN)，比如需要网页授权的域名为： "www.qq.com", 配置以后此域名下面的页面 "http://www.qq.com/music.html" 、 "http://www.qq.com/login.html" 都可以进行授权。 但"http://pay.qq.com" 、 "http://music.qq.com" 、 "http://qq.com"无法进行授权

对于工业云内部应用，还可设置client_appid相关联的订阅URI(client_subscibe_uri)，用于接收用户信息变更通知、企业信息变更通知、部门信息变更通知（可选）。相关订阅通知接口详见

• 用户管理API
• 企业管理API
• 应用管理API

API鉴权

调用API前，必须引导用户完成"统一单点登录"的流程，使应用拿到access_token

所有API都要求传入access_token做为调用凭据。详见其他API文档:

• 用户管理API
• 企业管理API
• 应用管理API

API统一错误码