场景简介

OneAccess提供第三方API的授权管理功能，API提供者将API配置到OneAccess之后，API消费者在使用API之前需要先到OneAccess获取鉴权Token，在使用API时携带该鉴权Token，API提供者根据鉴权Token判断是否可以提供服务，用以实现API的授权管理功能。

前提条件

请确保您已拥有OneAccess管理门户的访问权限。

在OneAccess中添加企业应用

在OneAccess管理门户中添加企业应用，提供给API使用者获取鉴权Token信息。

登录OneAccess管理门户。

在导航栏中，单击“资源 > 应用”。

在企业应用页面，单击自建应用下的“添加自建应用”，设置Logo和名称，单击“保存”。

获取的ClientId和ClientSecret。

在应用信息页面单击应用图标，在应用详情页面获取ClientId和ClientSecret（此信息需要提供给API使用者）。

在OneAccess中添加企业API

OneAccess管理员在OneAccess管理门户中添加企业需要的自定义API产品。

登录OneAccess管理门户。

在导航栏中，单击“资源 > 企业API”。

在企业API页面，单击自定义API产品下的“添加自定义API产品”。

在“添加企业API”页面，上传产品LOGO，填写产品名称和描述，单击“确定”，自定义API产品添加完成，自定义API产品页面显示已添加的API产品。

单击新建的自定义API产品，切换到“应用授权”页签，单击在OneAccess中添加企业应用中新建的应用后的“授权”，完成API对应用的授权使用。

切换到“权限信息”页面，添加API权限信息。

在OneAccess应用中授权相应API权限

在OneAccess的应用中，授权具体自定义API的权限。

登录OneAccess管理门户。

在导航栏中，单击“资源 > 应用”。

单击在OneAccess中添加企业应用中新建的应用，单击应用图标，进入通用信息页面。

选择“API权限 ”，在API权限页面，单击某一权限代码右侧“操作”列的“授权”则授权成功。

在OneAccess中获取签名公钥和算法密钥

OneAccess办法的鉴权Token是经过加密和签发的，需要获取签名公钥和算法密钥给API提供者进行解密。

登录OneAccess管理门户。

在导航栏中，选择“设置 > 服务配置”，单击“API认证配置”，获取签名公钥和算法密钥，提供给APPI提供者。

API使用者从OneAccess获取鉴权Token

API使用者调用OneAccess鉴权接口获取鉴权Token。

访问接口：https://访问域名/api/oap/oauth/token?grant_type=client_credentials。

API提供者校验Token

API使用者调用API提供者的接口时，携带从OneAccess获取的id_token，API提供者在收到API使用者的消息时需要校验该Token，主要校验两个内容：

Token的签名信息是否正确，保证Token是OneAccess颁发的。

校验Token中申明的权限是否包含当前访问当前的API。

流程详情请参考：企业API使用