钉钉企业内部应用授权免登+鉴权

最新推荐文章于 2025-10-09 17:44:43 发布
原创 最新推荐文章于 2025-10-09 17:44:43 发布 · 7k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了在钉钉中创建企业内部应用的步骤,包括获取应用凭证、授权免登流程(前端获取授权码、后端换取access_token、获取用户信息及详情)以及鉴权流程(获取签名并进行JSAPI鉴权)。通过这些步骤,可以实现用户免登授权和鉴权调用受保护的API。

一、创建应用

在钉钉管理后台-应用开发-企业内部开发-创建应用(我们这边创建的是H5微应用)
创建好了之后,会拿到应用凭证:AgentId,AppKey,AppSecret
这三个值在开发中会用到

二、授权免登流程

1、前端–获取微应用免登授权码
具体参考API:获取授权码API

2、后端–授权免登
(1)获取access_token
AppKeyAppSecret换取access_token

 public static String getAccessToken(String appKey, String appSecret) {
        DefaultDingTalkClient client = new        
        DefaultDingTalkClient("https://oapi.dingtalk.com/gettoken");
        OapiGettokenRequest request = new OapiGettokenRequest();
       request.setAppkey(appKey);
       request.setAppsecret(appSecret);
       request.setHttpMethod("GET");
       OapiGettokenResponse response = null;
       try {
            response = client.execute(request);
        } catch (ApiException e) {
            log.error("dingUtil getAppToken error", e);
            throw new BizException("获取token失败");
        }
       if (!response.isSuccess()) {
           log.error("dingUtil getAccessTokenAfresh failed, errorCode={}, errorMsg={}", response.getErrcode(), response.getErrmsg());
            return null;
        }
        return response.getAccessToken();
    }

说明:正常情况下access_token有效期为7200秒,有效期内重复获取返回相同结果,并自动续期。所以不需要每次有用户授权登录,都要去获取一次。

@Component
public class AccessTokenCache {
    private static Logger logger = LoggerFactory.getLogger(AccessTokenCache.class);

    private static AccessTokenCache cache = new AccessTokenCache();
    private String appToken = null;

    private AccessTokenCache() {
    }

    public static AccessTokenCache getInstance() {
        return cache;
    }

    public void init() {
        while (true) {
            try {
                appToken = DingDingUtil.getAccessToken("appKey", "appSecret");
                if (null != appToken) {
                    logger.info("获取token成功, appToken:{}", appToken);
                    // 休眠 1 小时
                    Thread.sleep(3600 * 1000);
                } else {
                    // 如果access_token为null,60秒后再获取
                    Thread.sleep(60 * 1000);
                }
            } catch (InterruptedException e) {
                try {
                    Thread.sleep(60 * 1000);
                } catch (InterruptedException e1) {
                    logger.error("{}", e1);
                }
                logger.error("{}", e);
            }
        }
    }

    public String getAppToken() {
        return appToken;
    }
}

在启动类加上:
AccessTokenCache accessTokenCache = new AccessTokenCache();
AccessTokenCache.getInstance().init();

每个小时获取一次access_token 需要的时候通过这个方法来获取就好了,
在授权,鉴权,消息通知等流程中都是要用到的。

参考API:获取access_tokenAPI
(2)获取用户userid
通过免登授权码access_token获取用户的userid。

 DingTalkClient client = new DefaultDingTalkClient("https://oapi.dingtalk.com/user/getuserinfo");
        OapiUserGetuserinfoRequest request = new OapiUserGetuserinfoRequest();
        request.setCode(code);
        request.setHttpMethod("GET");
        OapiUserGetuserinfoResponse response = client.execute(request, accessToken);
        if (!response.isSuccess()) {
            log.error("dingUtil getUserInfo failed, errorCode={}, errorMsg={}", response.getErrcode(), response.getErrmsg());
            return null;
        }
       return response;

返回值:

{
    "userid": "****",//	员工在当前企业内的唯一标识,也称staffId
    "is_sys": true,//是否是管理员,true:是,false:不是
    "sys_level": 1,//级别。1是主管理员,2是子管理员,100是老板,0是其他(如普通员工)
    "errcode": 0//错误码
    "errmsg": "ok",//错误描述
}

获取用户信息参考API:获取用户信息
(3)获取用户详情
如果要获取当前用户更多的详情,可以使用这个api去获取更多用户信息
用上一步获得的useridaccess_token获取用户详情信息

  DingTalkClient client = new DefaultDingTalkClient("https://oapi.dingtalk.com/user/get");
        OapiUserGetRequest request = new OapiUserGetRequest();
        request.setUserid(userId);
        request.setHttpMethod("GET");
        OapiUserGetResponse response = client.execute(request, accessToken);
        if (!response.isSuccess()) {
            log.error("dingUtil getUser failed, errorCode={}, errorMsg={}", response.getErrcode(), response.getErrmsg());
            return null;
        }

获取用户详情参考API:获取用户详情述
(4)将当前用户信息写进缓存,并生成token给前端以便验证登录用户,这样就拿到了当前用户信息完成了授权免登。

三、鉴权流程

在开发过程,前端调用某些api是需要鉴权才可以调用的。所以要走鉴权流程把需要鉴权的api走鉴权流程。

1、后端–获取签名
(1)获取access_token(同上)
(2)获取jsapi_ticket
用access_token换取ticket
注意:
a、当jsapi_ticket未过期时,再次调用get_jsapi_ticket会获取到一个全新的jsapi_ticket(和旧的jsapi_ticket值不同),这个全新的jsapi_ticket的过期时间是2小时。
b、jsapi_ticket是一个appKey对应一个,所以在使用的时候需要将jsapi_ticket以appKey为维度进行缓存下来(设置缓存过期时间2小时),并不需要每次都通过接口拉取。

 DefaultDingTalkClient client = new DefaultDingTalkClient("https://oapi.dingtalk.com/get_jsapi_ticket");
        OapiGetJsapiTicketRequest req = new OapiGetJsapiTicketRequest();
        req.setTopHttpMethod("GET");
        OapiGetJsapiTicketResponse response = client.execute(req, accessToken);

        if (!response.isSuccess()) {
            log.error("dingUtil getTicket failed, errorCode={}, errorMsg={}", response.getErrcode(), response.getErrmsg());
            return null;
        }
        return response.getTicket();

(3)生成签名,并将签名参数返回给前端
生成签名的参数:
String ticket 上一步获取的票据
String nonceStr 随机字符串
long timeStamp 当前时间戳
String url 当前网页的URL,不包含#及其后面部分

  String plain = "jsapi_ticket=" + ticket + "&noncestr=" + nonceStr + "&timestamp=" + String.valueOf(timeStamp)
                + "&url=" + url;
        try {
            MessageDigest sha1 = MessageDigest.getInstance("SHA-1");
            sha1.reset();
            sha1.update(plain.getBytes("UTF-8"));
            return byteToHex(sha1.digest());
        } catch (NoSuchAlgorithmException e) {
            log.error("dingUtil sign error", e);
            throw new BizException("签名错误");
        } catch (UnsupportedEncodingException e) {
            log.error("dingUtil sign error", e);
            throw new BizException("签名错误");
        }
        
  /**
     * 字节数组转化成十六进制字符串
     *
     * @param hash
     * @return
     */
    private static String byteToHex(final byte[] hash) {
        Formatter formatter = new Formatter();
        for (byte b : hash) {
            formatter.format("%02x", b);
        }
        String result = formatter.toString();
        formatter.close();
        return result;
    }

返回前端的参数:nonceStr,timeStamp,signature(签名结果),corpId(企业ID),agentId(创建应用时获得的)

2、前端–JSAPI鉴权
拿着后端返回的签名参数进行dd.config鉴权
注意:这里鉴权,钉钉那边是做了灰度的,如果出现偶发错误情况,那一定是代码有问题。
参考博文:钉钉鉴权报错
至此,完成鉴权。整个鉴权流程API:鉴权流程API

基于Vue开发钉钉企业内部应用过程的实现
04-28 1745
笔者在之前的博文中曾经介绍过钉钉企业内部应用过程的实现方式,当时前端选用的是jquery。上周学习了Vue,并尝试开发了一款简易的钉钉企业内部应用。现实现过程作概括总结。 PS:因笔者尚未学习Webpack工具,本文使用script标签引入vue.js,利用httpVueLoader引入外部Vue组件。 index.html <head> <meta...
钉钉实现企业级项目在微应用内的的流程
求知若饥、虚心若愚
03-15 6184
最近项目的进度快接近尾声,需要将项目发布到钉钉里面以钉钉应用的方式运行,需要打通接口和发送OA消息的接口,因为是第一次做,所以将流程整理在此。言归正传,首先我们需要在user表里加一个ding_userId字段,这个字段的值是企业钉钉用户在钉钉企业群里面的一个唯一的userId,且不可更改,这个值是为了时换取用户的对象,下面的流程里会用到。(一)基本概述: 钉钉中实现陆的核心思
钉钉应用企业内部开发快速一套,陆流程
qq_36971442的博客
11-27 590
前端:vue2+vue3cli, 后台 springboot+官方提供的例子和demo,需要别的东西网上累加,叫我移植就当我没说,我不会也懒得动,我只用了quickstart这一个demo就够了,不用其他乱七八招的流程。 不过这个流程首先需要后台配置5个环境变量(后台开始) 然后里面有个**/config**接口,可以获得5个信息,这个是需要返回给前端做验证需要的 接下来就是前端的活了(还是我),首先访问刚刚/config那个接口,拿到5个参数存起来 之后拿出来在dd容器外面赋值直接用,不能在d
企业微信中JS-SDK
最新发布
太阳与星辰的博客
10-09 936
企业微信中JS-SDK
企业内部应用实现钉钉登录登录成功后推送消息
angang12的博客
12-04 2605
首先要得到企业id,和H5应用凭证:AgentId,AppKey,AppSecret。通过钉钉开放平台自行创建来获取。 钉钉开放平台链接 https://open-dev.dingtalk.com 获取到以上信息后,建议放到application.yml里面 azure: corpid: ding36365c58b38517xxxxxxxxxxxxxxxxxx appkey: dingjhqxxxxxxxxxxxx appsecret: RVYcJvDtymXWsD9lwXBJRd1qKHAWPu
钉钉授权登录
g470641382的博客
11-24 815
钉钉授权登录
钉钉应用
weixin_筱玉的博客
04-20 1445
钉钉应用登录 钉钉应用 钉钉应用开发
[Python] 企业内部应用接入钉钉登录,端内登录+浏览器授权登录
薄荷你玩的博客。个人博客:薄荷分享【www.bhshare.cn】
04-08 975
Python] 为企业网站应用接入钉钉,实现钉钉客户端内自动授权,浏览器中手动钉钉授权登录两种逻辑。
钉钉企业内部应用开发之实现过程
03-15 2674
1、以机构管理员身份在后台创建应用,记下corpId、appkey、appsecret等信息,配置好服务器入口信息等。 2、在开发pc上安装rc版钉钉,可以进行调试。 3、搭建开发环境,我选择的是前端js(jquery、bootstrap等)+后端php+数据库mysql。 4、前端代码: index.html <!DOCTYPE html> <html lang="zh-cn"...
Odoo实现企业内部应用钉钉
m0_61040835的博客
10-20 1095
技术方:粟雪峰 实现企业内部使用钉钉时无需输入账号和密码。 开发流程 授权码 用户信息保存在前端缓存中(dd.setStorage)或者cookie可以达到更好的效果,避调用钉钉接口。 获取授权码。 方式一:小程序 调用dd.getAuthCode接口,通过JSAPI获取授权码。 dd.getAuthCode({ success:function(res){ /*{ authCode: 'hYLK98jkf
uniapp实现钉钉网页应用jsapi功能(前后端)
2023年最新地推相关信息
09-05 1175
我们本来是有个app,已经正常上线使用了,框架用的是uniapp。现在想搞到钉钉应用上,一开始想做钉钉小程序,就先简单说一下钉钉小程序基础开发,然后再详细介绍钉钉网页应用
c#实现钉钉功能
Vincent_yuan1991的博客
08-30 4437
钉钉提供的功能 如下 企业应用 ISV应用应用后台管理员 第三方WEB网站 第三方WEB网站扫码登录 这里要讲解的是4,5;即第三方Web网站:点击网站上登录页面的钉钉图标,显示二维码,然后扫码登录功能; 钉钉Web网站扫码登录文档 一.前期准备 第三方网站的网址 第三方网站logo的网址 操作: 创建要填写的一些相关信息。授权LOGO地址,...
钉钉授权第三方登录
热门推荐
qq_45772124的博客
04-09 16万+
扫码登录第三方网站 扫码登录第三方网站 <main id="topic-2040858"> <p data-tag="shortdesc" id="shortdesc-mip-fut-h2q" class="shortdesc"><span style="color: rgba(17,31,44,0.40);font-size:14px;">更新时间:
ASP.netcore MVC钉钉H5微应用(二)
这是一个机械转编程的博客
05-26 726
钉钉H5开发日记,ASP.net core mvc 里面包含所有前后端代码
钉钉企业内部H5微应用JSAPI纯前端流程
NOIFNOIFNOIF的博客
09-20 3919
钉钉开发文档,它给出了两个JSAPI的demo,分别是java和php的,需要前后端配合,而我们此次做的项目用了纯前端的方法,实现的前后端分离。permissionType: 'xxx', // 可添加限校验,选人限,目前只有GLOBAL这个参数。// 钉钉JSAPI。timeStamp: timeStamp, // 必填,生成签名的时间戳。调用钉钉接口https://oapi.dingtalk.com/gettoken。nonceStr: 'test', // 必填,生成签名的随机串。
OAUTH之 钉钉第三方授权登录
m0_37322399的博客
04-21 9757
文章目录OAUTH之钉钉第三方授权登录前期用到的工具获取access_token请求地址请求方法响应扫码 / 使用账号密码 -- 获取 临时 code参数重要说明直接访问 扫码登录使用账号密码登录第三方网站根据 sns 临时授权码获取用户信息前置条件请求地址响应golang 具体操作和逻辑根据 unionid 获取用户 userid请求地址请求方法根据userid 获取 用户详情请求地址请求方法获取部门列表请求地址请求方法响应获取部门用户 userid 列表请求地址请求方法响应 OAUTH之钉钉第三方授权
钉钉统一授权登录第三方网站
wujialaoer的博客
06-04 3465
(1)点击同意后,钉钉在url返回authCode。,添加应用回调的URL,以http或https开头。登录页面在初次校验登录状态时显示。(2)根据authCode,调用服务端。(3)根据用户个人token,调用。首次授权时,显示授权页面。接口,获取用户个人token。接口,实现获取用户个人信息。进入已创建的应用详情页,在。单击同意,触发以下流程。在应用详情页,然后单击。登录后,打开授权页面。页面可以查看到应用的。
钉钉应用创建和发布与功能
m0_46425350的博客
07-23 640
本文详细介绍了钉钉H5微应用的开发流程,主要包括:1.创建应用并获取凭证(AppKey、AppSecret等);2.配置限、安全设置及发布应用;3.实现授权的技术方案,包含前端授权码获取和服务端用户信息处理;4.注意事项,如code有效期、跨域限制、接口版本选择等。开发过程中需注意回调域名一致性、限管理及调试工具使用,确保应用钉钉环境内正常运行。
钉钉开发网页应用JSAPI前端授权nodejs实现
redrun博客
08-07 3709
使用钉钉进行H5网页开发的时候,需要调用一些钉钉提供具有原生能力的api,要调用这些api需要进行jsapi授权
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值