实现登录第三方网站

本文档指导你如何实现用户登录第三方网站（扫码或账密方式）。在本场景中，第三方网站可以获取用户授权的个人信息。

说明

企业内部应用与三方企业应用实现流程类似，本文档以企业内部应用实现流程为例

调用步骤

步骤一：登录钉钉开发者后台，创建并配置应用。

以创建企业内部应用-H5微应用为例。

配置H5微应用相关信息，开发模式、服务器出口IP、应用首页地址等。

步骤二：添加接口调用权限。

步骤三：配置frp内网穿透，用于生成一个公网域名进行测试。

步骤四：登录钉钉开发者后台，设置第三方网站的回调域名。

步骤五：搭建后端服务。

步骤六：实现登录第三方网站。

步骤七：访问第三方网站地址，并获取用户个人信息。

在浏览器里输入构造后的第三方网站地址。

使用扫码或者通过钉钉账号登录。

登录后，打开授权页面。

在授权页面，点击同意，并触发相关操作。

获取到用户个人信息。

准备工作

在开始本教程前，确保你已经完成了以下准备工作：

需要成为钉钉开发者，详情请参考成为钉钉开发者。

确保您已经安装了Java开发环境（安装JDK）以及Java项目构建工具Maven。

步骤一：创建并配置应用

在本部分，你需要在开发者后台创建一个H5微应用，并完成通讯录权限和用户个人手机号权限的配置，用于获取用户个人信息。

登录钉钉开发者后台。

说明

只有管理员和子管理员可登录开发者后台，详情可查看成为钉钉开发者。

在开发者后台页面，选择企业内部开发，然后单击创建应用。

在弹出的创建应用页面中填写基本信息，然后单击确定创建。

应用类型：选择H5微应用。

开发方式：选择企业自主开发。

应用创建完成后，在基础信息页面，复制应用的AppKey和AppSecret备用。

单击开发管理进入开发管理页面，然后单击修改，并根据以下内容配置开发信息。

开发模式：选择开发应用。

服务器出口IP：输入调用钉钉服务端API时使用的IP即企业服务器的公网IP，多个IP请以英文逗号","隔开，支持带一个*号通配符的IP格式。

本教程设置为127.0.0.1。

应用首页地址：输入应用首页URL，在移动端工作台点击应用图标会跳转到此页面。可输入后端服务部署的服务器的IP或域名。例如：http://公网IP:8080。

本教程设置为https://ding-doc.dingtalk.com/。

步骤二：添加接口权限

1.登录开发者后台-点击应用开发-企业内部应用，找到对应的应用并点击。

2.单击权限管理进入权限管理页面，根据以下配置添加接口调用权限。

（1）权限范围选择全部员工。

（2）选择个人权限，申请个人手机号信息和通讯录个人信息读权限。

步骤三：配置frp内网穿透

在本部分，你将使用frp内网穿透工具生成一个公网域名用于教程测试。详情请参考frp内网穿透工具。

步骤四：设置第三方网站的回调域名

在本部分，你将在开发者后台设置第三方网站的回调地址。

登录钉钉开发者后台，找到对应的应用，并点击应用。

单击钉钉登录与分享，填写回调域名，点击添加。

说明

（1）有以下方式设置域名，可以选择其中一种。在后续“搭建后端服务”章节使用，请按实际使用进行替换。

使用frp内网穿透工具，设置服务端域名。

推荐使用，开发者自定义一个设置的服务端域名，请求地址设置为http://xxxxx.vaiwan.cn/auth。请替换地址中的xxxxx。

使用本文档配置的frp内网穿透时设置的服务端域名，请求地址设置为http://abc.vaiwan.cn/auth。该地址使用的开发者较多，可能导致无法使用。

开发者使用自己的服务器域名。

（2）回调域名的重定向地址。

重定向至服务端接口，本文档配置回调域名地址为服务端接口地址。

重定向至第三方网站网页地址。

步骤五：搭建后端服务

在本部分，你将使用spring.io快速搭建服务端项目。

使用浏览器访问https://start.spring.io/。

根据以下操作下载服务端代码。

配置项目信息。

Project：选择Maven项目。

Language：选择Java。

Packaging：选择Jar包

Java：本教程选择Java8，你可以根据自身需要选择相应的Java版本。

单击GENERATE生成项目文件及下载。

解压下载的项目文件，然后使用IntelliJ IDEA打开。

点击pom文件，添加如下依赖。

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 <dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>fastjson</artifactId>
      <version>1.2.6</version>
 </dependency>
 <dependency>
  <groupId>com.aliyun</groupId>
  <artifactId>dingtalk</artifactId>
  <version>1.1.86</version>
 </dependency>

项目加载完成后，在src/main/java/com/example/demo/目录下新建一个类LoginController。

说明

请确保以下内容正确，否则无法实现相应功能。

接口地址/auth需要和开发者后台钉钉登录与分享的地址http://xxxxx/auth保持一致。

setClientId、setClientSecret要替换成应用基础信息-应用信息中的AppKey和AppSecret。

需替换内容	说明
接口地址/auth	需要和开发者后台钉钉登录与分享的地址http:xxxxx/auth保持一致。
setClientId("dingwxxxxx请替换为正确的应用信息的AppKey")	参数务必替换为：应用基础信息-应用信息中的AppKey。
setClientSecret("ICLbFFjNxxx请替换为正确的应用信息的AppSecret")	参数务必替换为：应用基础信息-应用信息中的AppSecret。

package com.example.demo;

import com.alibaba.fastjson.JSON;
import com.aliyun.dingtalkcontact_1_0.models.GetUserHeaders;
import com.aliyun.dingtalkoauth2_1_0.models.GetUserTokenRequest;
import com.aliyun.dingtalkoauth2_1_0.models.GetUserTokenResponse;
import com.aliyun.teaopenapi.models.Config;
import com.aliyun.teautil.models.RuntimeOptions;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class LoginController {

    public static com.aliyun.dingtalkoauth2_1_0.Client authClient() throws Exception {
        Config config = new Config();
        config.protocol = "https";
        config.regionId = "central";
        return new com.aliyun.dingtalkoauth2_1_0.Client(config);
    }
    /**
     * 获取用户token
     * @param authCode
     * @return
     * @throws Exception
     */
    //接口地址：注意/auth与钉钉登录与分享的回调域名地址一致
    @RequestMapping(value = "/auth", method = RequestMethod.GET)
    public String getAccessToken(@RequestParam(value = "authCode")String authCode) throws Exception {
        com.aliyun.dingtalkoauth2_1_0.Client client = authClient();
        GetUserTokenRequest getUserTokenRequest = new GetUserTokenRequest()
                
                //应用基础信息-应用信息的AppKey,请务必替换为开发的应用AppKey
                .setClientId("dingwxxxxx请替换为正确的应用信息的AppKey")
                
                //应用基础信息-应用信息的AppSecret，,请务必替换为开发的应用AppSecret
                .setClientSecret("ICLbFFjNxxx请替换为正确的应用信息的AppSecret")
                .setCode(authCode)
                .setGrantType("authorization_code");
        GetUserTokenResponse getUserTokenResponse = client.getUserToken(getUserTokenRequest);
        //获取用户个人token
        String accessToken = getUserTokenResponse.getBody().getAccessToken();
        return  getUserinfo(accessToken);

    }
    public static com.aliyun.dingtalkcontact_1_0.Client contactClient() throws Exception {
        Config config = new Config();
        config.protocol = "https";
        config.regionId = "central";
        return new com.aliyun.dingtalkcontact_1_0.Client(config);
    }
    /**
     * 获取用户个人信息
     * @param accessToken
     * @return
     * @throws Exception
     */
    public String getUserinfo(String accessToken) throws Exception {
        com.aliyun.dingtalkcontact_1_0.Client client = contactClient();
        GetUserHeaders getUserHeaders = new GetUserHeaders();
        getUserHeaders.xAcsDingtalkAccessToken = accessToken;
        //获取用户个人信息，如需获取当前授权人的信息，unionId参数必须传me
        String me = JSON.toJSONString(client.getUserWithOptions("me", getUserHeaders, new RuntimeOptions()).getBody());
        System.out.println(me);
        return me;
    }
}

步骤六：实现登录第三方网站

使用钉钉提供的页面登录授权

构造第三方网站访问地址。

重要

为了方便阅读，以下参数示例做了换行处理。正常情况下无需进行参数换行。

redirect_uri必须要做urlencode，以下示例已经进行urlencode。

以下登录页面在初次校验登录状态时显示。

redirect_uri必须要做urlencode

https://login.dingtalk.com/oauth2/auth?
redirect_uri=https%3A%2F%2Fwww.aaaaa.com%2Fauth
&response_type=code
&client_id=dingxxxxxxx   //应用的AppKey 
&scope=openid   //此处的openId保持不变
&state=dddd
&prompt=consent

参数	是否必填	说明
redirect_uri	是	授权通过/拒绝后回调地址。重要需要与开发者后台钉钉登录与分享的地址保持一致，redirect_uri需要进行urlencode。
response_type	是	固定值为code。授权通过后返回authCode。
client_id	是	步骤一中创建的应用详情中获取。企业内部应用：client_id为应用的AppKey。第三方企业应用：client_id为应用的SuiteKey。
scope	是	授权范围，授权页面显示的授权信息以应用注册时配置的为准。当前只支持两种输入：openid：授权后可获得用户useridopenid corpid：授权后可获得用户id和登录过程中用户选择的组织id，空格分隔。注意url编码。
state	否	跟随authCode原样返回。
prompt	是	值为consent时，会进入授权确认页。
org_type	否	控制输出特定类型的组织列表，org_type=management 表示只输出有管理权限的组织。重要scope包含corpid时该参数存在意义。
corpId	否	用于指定用户需要选择的组织。重要scope包含corpid时该参数存在意义。传入的corpId需要是当前用户所在的组织。
exclusiveLogin	否	true表示专属帐号登录，展示组织代码输入页。
exclusiveCorpId	否	开启了专属帐号功能的组织corpId。重要exclusiveLogin为true时，该参数表示直接进入该组织的登录页。exclusiveLogin为false时，该参数无意义。

内嵌二维码方式登录授权

警告

嵌入二维码的页面必须和redirect_uri参数所指定的页面“同源”，否则扫码后会没有反应，“同源”指：协议相同、二级或三级域名相同、端口号相同等。详情请参考文档浏览器的同源策略。

在页面中引入钉钉扫码登录JSSDK。

<script src="https://g.alicdn.com/dingding/h5-dingtalk-login/0.21.0/ddlogin.js"></script>

在需要引入扫码登录的地方，调用如下方法。

<!-- STEP1：在HTML中添加包裹容器元素 -->
<div id="self_defined_element" class="self-defined-classname"></div>
<style>
    /* STEP2：指定这个包裹容器元素的CSS样式，尤其注意宽高的设置 */
    .self-defined-classname {
        width: 300px;
        height: 300px;
    }
</style>
<script>
    // STEP3：在需要的时候，调用 window.DTFrameLogin 方法构造登录二维码，并处理登录成功或失败的回调。
    window.DTFrameLogin(
        {
            id: 'self_defined_element',
            width: 300,
            height: 300,
        },
        {
            redirect_uri: encodeURIComponent('http://www.aaaaa.com/a/b/'),
            client_id: 'dingxxxxxxxxxxxx',
            scope: 'openid',
            response_type: 'code',
            state: 'xxxxxxxxx',
            prompt: 'consent',
        },
        (loginResult) => {
            const {redirectUrl, authCode, state} = loginResult;
            // 这里可以直接进行重定向
            window.location.href = redirectUrl;
            // 也可以在不跳转页面的情况下，使用code进行授权
            console.log(authCode);
        },
        (errorMsg) => {
            // 这里一般需要展示登录失败的具体原因
            alert(`Login Error: ${errorMsg}`);
        },
    );
</script>

参数说明((TypeScript语言描述))：

// ********************************************************************************
// window.DTFrameLogin方法定义
// ********************************************************************************
window.DTFrameLogin: (
  frameParams: IDTLoginFrameParams, // DOM包裹容器相关参数
  loginParams: IDTLoginLoginParams, // 统一登录参数
  successCbk: (result: IDTLoginSuccess) => void, // 登录成功后的回调函数
  errorCbk?: (errorMsg: string) => void,         // 登录失败后的回调函数
) => void;

// ********************************************************************************
// DOM包裹容器相关参数
// ********************************************************************************
// 注意！width与height参数只用于设置二维码iframe元素的尺寸，并不会影响包裹容器尺寸。
// 包裹容器的尺寸与样式需要接入方自己使用css设置
interface IDTLoginFrameParams {
  id: string;      // 必传，包裹容器元素ID，不带'#'
  width?: number;  // 选传，二维码iframe元素宽度，最小280，默认300
  height?: number; // 选传，二维码iframe元素高度，最小280，默认300
}

// ********************************************************************************
// 统一登录参数
// ********************************************************************************
// 参数意义与“拼接链接发起登录授权”的接入方式完全相同（缺少部分参数）
// 增加了isPre参数来设定运行环境
interface IDTLoginLoginParams {
  redirect_uri: string;     // 必传，注意url需要encode
  response_type: string;    // 必传，值固定为code
  client_id: string;        // 必传
  scope: string;            // 必传，如果值为openid+corpid，则下面的org_type和corpId参数必传，否则无法成功登录
  prompt: string;           // 必传，值为consent。
  state?: string;           // 选传
  org_type?: string;        // 选传，当scope值为openid+corpid时必传
  corpId?: string;          // 选传，当scope值为openid+corpid时必传
  exclusiveLogin?: string;  // 选传，如需生成专属组织专用二维码时，可指定为true，可以限制非组织帐号的扫码
  exclusiveCorpId?: string; // 选传，当exclusiveLogin为true时必传，指定专属组织的corpId
}

// ********************************************************************************
// 登录成功后返回的登录结果
// ********************************************************************************
interface IDTLoginSuccess {
  redirectUrl: string;   // 登录成功后的重定向地址，接入方可以直接使用该地址进行重定向
  authCode: string;      // 登录成功后获取到的authCode，接入方可直接进行认证，无需跳转页面
  state?: string;        // 登录成功后获取到的state
}

步骤七：访问第三方网站地址

在浏览器里输入第三方网站地址。

说明

本示例采用使用钉钉提供的页面登录授权方式。

使用扫码或者通过钉钉账号登录。

无登录状态时显示：

登录状态时显示：

3.登录后，打开授权页面。

说明

首次授权时，显示授权页面，如下图所示。

4.单击同意，触发以下流程。

（1）点击同意后，触发请求步骤四设置的第三方网站的回调域名，钉钉在url返回authCode。如下图所示。

（2）根据authCode，调用服务端获取用户token接口，获取用户个人token。

说明

以下代码对应步骤五中的代码，请替换为开发者开发的应用的AppKey、AppSecret，测试时请复制使用步骤五中的代码。

        /**
     * 获取用户token
     * @param authCode
     * @return
     * @throws Exception
     */
    //接口地址：注意/auth与钉钉登录与分享的回调域名地址一致
    @RequestMapping(value = "/auth", method = RequestMethod.GET)
    public String getAccessToken(@RequestParam(value = "authCode")String authCode) throws Exception {
        com.aliyun.dingtalkoauth2_1_0.Client client = authClient();
        GetUserTokenRequest getUserTokenRequest = new GetUserTokenRequest()
                
                //应用基础信息-应用信息的AppKey,请务必替换为开发的应用AppKey
                .setClientId("dingwxxxxx请替换为正确的应用信息的AppKey")
                
                //应用基础信息-应用信息的AppSecret，,请务必替换为开发的应用AppSecret
                .setClientSecret("ICLbFFjNxxx请替换为正确的应用信息的AppSecret")
                .setCode(authCode)
                .setGrantType("authorization_code");
        GetUserTokenResponse getUserTokenResponse = client.getUserToken(getUserTokenRequest);
        //获取用户个人token
        String accessToken = getUserTokenResponse.getBody().getAccessToken();
        return  getUserinfo(accessToken);

    }

（3）根据用户个人token，调用获取用户通讯录个人信息接口，实现获取用户个人信息。

说明

获取用户个人信息，获取当前授权人的信息，unionId参数值请传字符串me。

以下代码为步骤五中的代码，测试时请复制使用步骤五中的代码。

        /**
     * 获取用户个人信息
     * @param accessToken
     * @return
     * @throws Exception
     */
    public String getUserinfo(String accessToken) throws Exception {
        com.aliyun.dingtalkcontact_1_0.Client client = contactClient();
        GetUserHeaders getUserHeaders = new GetUserHeaders();
        getUserHeaders.xAcsDingtalkAccessToken = accessToken;
        //获取用户个人信息，如需获取当前授权人的信息，unionId参数必须传me
        String me = JSON.toJSONString(client.getUserWithOptions("me", getUserHeaders, new RuntimeOptions()).getBody());
        System.out.println(me);
        return me;
    }

控制台返回信息如下：

5.开发者可以根据实际需求，确认是否需要在前端页面展示用户个人相关信息。本教程点击同意后，实现的效果，可以在浏览器查看用户个人相关信息。如下图所示。

实现登录第三方网站

调用步骤#

准备工作#

步骤一：创建并配置应用#

步骤二：添加接口权限#

步骤三：配置frp内网穿透#

步骤四：设置第三方网站的回调域名#

步骤五：搭建后端服务#

步骤六：实现登录第三方网站#

使用钉钉提供的页面登录授权#

内嵌二维码方式登录授权#

步骤七：访问第三方网站地址#