JSAPI签权

JSAPI鉴权----钉钉H5开发

虽钉钉开发文档上写着不需要JSAPI签权，但这仅仅是针对Android手机

所以为了保险起见，在使用JSAPI前，都需要签权。

否则：dd.ready({}) 将不会执行。

JSAPI签权步骤：

1. 获取accessToken（用于jsapi_ticket的获取）
2. 获取jsapi_ticket（用于用于js的签名计算）
3. 获取签名参数
4. 生成签名
5. 引入js
6. dd.config({}) JSAPI签权

1.获取accessToken

请求方式：GET（HTTPS）
请求地址：https://oapi.dingtalk.com/gettoken?corpid=id&corpsecret=secret
参数说明：

参数	参数类型	必须	说明
corpid	String	是	企业Id
corpsecret	String	是	企业应用的凭证密钥

返回说明：（token有效期是：7200s）

{

"errcode": 0,

"errmsg": "ok",

"access_token": "fw8ef8we8f76e6f7s8df8s"

}

2.获取jsapi_ticket

请求说明

请求方式：GET（HTTPS）
请求地址：https://oapi.dingtalk.com/get_jsapi_ticket?access_token=ACCESS_TOKEN
参数说明：

参数	参数类型	必须	说明
access_token	String	是	调用接口凭证
type	String	否	目前只支持jsapi

正确时返回示例如下：

{

"errcode": 0,

"errmsg": "ok",

"ticket": "dsf8sdf87sd7f87sd8v8ds0vs09dvu09sd8vy87dsv87",

"expires_in": 7200

}

参数	说明
errcode	错误码
errmsg	错误信息
ticket	用于JS API的临时票据
expires_in	票据过期时间

出错时返回示例如下：

{

"errcode": 45009,

"errmsg": "接口调用超过限制"

}

 

3.获取签名参数

在前端进行免登鉴权之前，我们要先拿到一些免登鉴权的参数，主要有有url, nonceStr, agentId, timeStamp, corpId 。

参数	说明	企业	ISV
url	当前网页的URL，不包含#及其后面部分
nonceStr	随机串，自己定义
agentId	应用的标识	编辑企业应用可以看到	在ISV调用get_auth_info接口里面可以获取
timeStamp	时间戳	当前时间，但是前端和服务端进行校验时候的值要一致	当前时间，但是前端和服务端进行校验时候的值要一致
corpId	企业ID	企业ID，在开发者后台中企业视图下开发者账号设置里面可以看到	通过在页面地址上追加?corpId=CORPID进行获取

注：url参数需要注意，如果url中?号后有中文参数，则参数需要进行URLDecoder.decode(“name=中&age=18”);处理

4.生成签名

在服务端通过sign(ticket, nonceStr, timeStamp, url)计算前端校验需要使用的签名信息。

代码展示：

public static String sign(String ticket, String nonceStr, long timeStamp, String url) throws OApiException {

String plain = "jsapi_ticket=" + ticket + "&noncestr=" + nonceStr + "×tamp=" + String.valueOf(timeStamp)

+ "&url=" + url;

try {

MessageDigest sha1 = MessageDigest.getInstance("SHA-1");

sha1.reset();

sha1.update(plain.getBytes("UTF-8"));

return bytesToHex(sha1.digest());

} catch (NoSuchAlgorithmException e) {

throw new OApiResultException(e.getMessage());

} catch (UnsupportedEncodingException e) {

throw new OApiResultException(e.getMessage());

}

}

//将bytes类型的数据转化为16进制类型

private static String bytesToHex(byte[] hash) {

Formatter formatter = new Formatter();

for (byte b : hash) {

formatter.format("%02x", b);

}

String result = formatter.toString();

formatter.close();

return result;

}

将：url，nonceStr，agentId，timeStamp，corpId，signature传递到前端页面，在前端HTML5页面使用jsapi提供的dd.config接口进行签名校验。

封装成JSON 字符串：

"{\"jsticket\":\"" + ticket + "\",\"signature\":\"" + signature + "\",\"nonceStr\":\"" + nonceStr + "\",\"timeStamp\":\""

+ timeStamp + "\",\"corpId\":\"" + Env.CORP_ID + "\",\"agentid\":\"" + Config.agentId + "\"}"

5.引入JS

<script src="http://g.alicdn.com/dingding/dingtalk-jsapi/2.0.57/dingtalk.open.js"></script>

注：如果页面地址是HTTPS协议，这个js的src也必须使用HTTPS,即：

<script src="https://g.alicdn.com/dingding/dingtalk-jsapi/2.0.57/dingtalk.open.js"></script>

6.JSAPI鉴权

示例代码：

dd.config({

agentId: '', // 必填，微应用ID

corpId: '',//必填，企业ID

timeStamp: , // 必填，生成签名的时间戳

nonceStr: '', // 必填，生成签名的随机串

signature: '', // 必填，签名

type:0/1,   //选填。0表示微应用的jsapi,1表示服务窗的jsapi；不填默认为0。该参数从dingtalk.js的0.8.3版本开始支持

jsApiList : [

'runtime.info',

'biz.contact.choose',

'device.notification.confirm',

'device.notification.alert',

'device.notification.prompt',

'biz.ding.post',

'biz.util.openLink',

] // 必填，需要使用的jsapi列表，注意：不要带dd。

});

参数	参数类型	必须	说明
agentId	String	是	微应用ID，普通企业可以通过OA后台的微应用－设置查看agentId，点击查看。ISV需要通过调用授权成功后的get_auth_info获取授权方的agentId
corpId	String	是	企业ID
timeStamp	String	是	生成签名的时间戳
nonceStr	String	是	生成签名的随机串
signature	String	是	JS-API签名，可以参考简易教程中的获取签名的示例代码
type	number	否	如果是要调用服务窗的jsapi，请填1
jsApiList	Array	是	需要调用的jsapi列表

URL不一致导致免登报错52013，签名校验失败？

1. 用户后端签名使用的url地址和前端访问地址需要严格一致，包括端口号。前端部分可以用alert显示出当前的location.href，后端部分请在签名的时候打印日志。
2. 访问通过反向代理服务器、各种NAT等场景下容易出现这种问题，如http缺省的80端口，和显式增加80的不是同一个URL。
3. 检查确认获取的jsapiticket是否正确或者过期。jsapiticket是否有效期内重复获取导致jsapiticket被覆盖。

通过error接口处理失败验证

dd.config验证失败会执行error函数，错误信息可以在返回的error参数中参看，下面为error信息示例:

dd.error(function(error){

/**

{

errorMessage:"错误信息",// errorMessage 信息会展示出钉钉服务端生成签名使用的参数，请和您生成签名的参数作对比，找出错误的参数

errorCode: "错误码"

}

**/

alert('dd error: ' + JSON.stringify(err));

});