连接外部身份源(Identity Provider)
IdP 概念
身份源提供商(Identity Provider,简称 IdP)指的是一个负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。使用外部身份服务商可以降低用户管理成本以及降低用户使用成本。
IdP 连接流程
一个典型的 Web 端应用与 IdP 连接流程包含以下步骤:
- 跳转:用户在 GenAuth 控制台 登录页面点击第三方登录按钮(比如 Google、GitHub),系统自动弹出其第三方的登录页面;
- 请求:用户在第三方的登录页面输入该账户的账号信息及密码;
- 验证:第三方 IdP 验证用户身份;
- 授权:验证用户身份之后,浏览器携带临时凭证发送给 GenAuth 控制台,GenAuth 使用此凭证从第三方 IdP 换取该用户的信息。
IdP 分类
在 GenAuth 产品中,我们将身份源提供商分为以下几种:
获取帮助
如有任何问题,可在GenAuth 论坛 进行反馈。
社会化身份源
社会化身份源登录,是指用户使用第三方社交平台的身份认证信息在当前网址进行认证登录的流程。社会化登录不仅有助于简化用户的登录体验,同时也为用户提供了一种更为简单便捷的注册登录方式。在 GenAuth 控制台 ,目前一共支持国内外将近 20 余种社会化登录,比如个人微信、腾讯 QQ、Facebook、Google、Twitter 等。
社会化登录列表
以下是目前平台支持的社会化登录完整列表及相关使用文档:
| 社会化登录方式 | 使用场景 | 使用文档 |
|---|---|---|
| PC 微信扫码 | PC 网站 | |
| 微信移动端 | 移动 APP | |
| 微信网页授权 | 微信内网页 | |
| 微信公众号关注 | PC 网站 | |
| 微信小程序 | 微信小程序 | 使用文档 |
| 微信 PC 小程序扫码 | PC 网站 | |
| App 拉起小程序 | 移动 APP | |
| 腾讯 QQ | PC 网站 | |
| 腾讯 QQ 移动端 | 移动 APP | |
| 新浪微博 | PC 网站 | |
| 新浪微博移动端 | 移动 APP | |
| GitHub | PC 网站 | |
| GitHub 移动端 | 移动 APP | |
| PC 网站 | ||
| Facebook 移动端 | 移动 APP | |
| PC 网站 | ||
| Twitter 移动端 | 移动 APP | |
| Google Web 端 | PC 网站 | |
| Google 移动端 | 移动 APP | |
| Apple Web 端 | PC 网站 | |
| Apple 移动端 | 移动 APP | |
| 支付宝 Web 端 | PC 网站 | |
| 支付宝移动端 | 移动 APP | |
| Slack | PC 网站 | |
| Slack 移动端 | 移动 APP | |
| Gitee | PC 网站 | |
| GitLab | PC 网站 | |
| GitLab 移动端 | 移动 APP | |
| 百度 | PC 网站 | |
| 百度移动端 | 移动 APP | |
| PC 网站 | ||
| LinkedIn 移动端 | 移动 APP | |
| 网易易盾(手机号一键登录) | 移动 APP | |
| 青云 QingCloud | PC 网站 | |
| PC 网站 | ||
| 抖音移动端 | 移动 APP | |
| 抖音小程序 | 移动 APP | 使用文档 |
| 快手移动端 | 移动 APP | |
| 小米移动端 | 移动 APP | |
| Line 移动端 | 移动 APP |
社会化登录关联方式
使用「身份源连接的账号关联」功能,让你的用户在使用你所配置的社会化身份源登录时,能够直接登录到已有账号。
当 未开启「账号身份关联」 时,用户首次通过身份源登录时默认在用户池中创建新用户。开启 「账号身份关联」 后,你可以对用户的「身份源账号关联方式」进行选择,可以允许用户通过「字段匹配」或「询问绑定」的方式直接绑定且登录到已有的账号。
以下是目前平台支持的社会化登录支持关联账号的方式:
| 社会化登录方式 | 使用场景 | 询问绑定 | 绑定方式 | 字段匹配 | 匹配规则 |
|---|---|---|---|---|---|
| PC 微信扫码 | PC 网站 | ✅ | 手机、邮箱、用户名 | -- | -- |
| 微信移动端 | 移动 APP | -- | -- | -- | -- |
| 微信网页授权 | 微信内网页 | -- | -- | -- | -- |
| 微信公众号关注 | PC 网站 | ✅ | 手机、邮箱、用户名 | -- | -- |
| 微信小程序 | 微信小程序 | -- | -- | -- | -- |
| 微信 PC 小程序扫码 | PC 网站 | ✅ | 手机号 | -- | -- |
| App 拉起小程序 | 移动 APP | -- | -- | -- | -- |
| 腾讯 QQ | PC 网站 | ✅ | 手机、邮箱、用户名 | -- | -- |
| 腾讯 QQ 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| 新浪微博 | PC 网站 | ✅ | 手机、邮箱、用户名 | -- | -- |
| 新浪微博移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| GitHub | PC 网站 | -- | -- | ✅ | 邮箱 |
| GitHub 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| PC 网站 | -- | -- | ✅ | 邮箱 | |
| Facebook 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| PC 网站 | -- | -- | -- | -- | |
| PC 网站 | -- | -- | ✅ | 邮箱 | |
| Apple Web 端 | PC 网站 | -- | -- | ✅ | 邮箱 |
| Apple 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| 支付宝 Web 端 | PC 网站 | -- | -- | -- | -- |
| 支付宝移动端 | 移动 APP | -- | -- | -- | -- |
| Slack | PC 网站 | -- | -- | ✅ | 邮箱 |
| Slack 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| Gitee | PC 网站 | -- | -- | ✅ | 邮箱 |
| Gitee 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| GitLab | PC 网站 | -- | -- | ✅ | 邮箱 |
| GitLab 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| 百度 | PC 网站 | -- | -- | -- | -- |
| 百度移动端 | 移动 APP | -- | -- | -- | -- |
| PC 网站 | -- | -- | -- | -- | |
| 网易易盾(一键登录) | 移动 APP | -- | -- | ✅ | 手机号 |
| 青云 QingCloud | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| PC 网站 | -- | -- | ✅ | 邮箱 | |
| 抖音移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| 快手移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| 小米移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
| Line 移动端 | 移动 APP | -- | -- | ✅ | 邮箱 |
PC 微信扫码
场景介绍
- 概述:PC 微信扫码登录可以让用户使用微信身份安全登录第三方应用或网站,在 GenAuth 中开启微信扫码登录之后,可实现通过 GenAuth 快速获取微信用户基本开放信息和帮助用户实现基础开放功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通微信开放平台账号,请先前往 微信开放平台注册并登录。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:创建网站应用
前往微信开放平台,点击 管理中心 -> 网站应用 -> 创建网站应用。创建完成之后,你需要记录下该应用的 AppID 和 AppSecret,后面需要用到。
请确保该应用获取到了微信登录的权限,并将授权回调域设置为 core.authing.cn
第二步:在 GenAuth 控制台配置微信网站应用
2.1 请在 GenAuth 控制台的 社会化身份源 页面,点击 创建社会化身份源 按钮,进入 选择社会化身份源 页面。
2.2 在 选择社会化身份源 页面,点击 微信 卡片,进入 微信登录模式 页面。 
2.3 继续点击 PC 微信扫码 登录模式,或者点击 添加 打开 PC 微信扫码 配置页面。 
2.4 在 PC 微信扫码 配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| AppID | 微信应用 ID。 |
| AppSecret | 微信应用密钥 |
| Callback URL | 如果你想直接跳转到社会化身份源进行认证,中间不出现任何 GenAuth 的页面,你可以配置这个参数作为认证成功后的业务回调地址,GenAuth 会将用户的 ID Token 发送到这个 URL。比如你的网站域名是 https://example.com,处理 GenAuth 回调请求的 url 为 /auth/callback,那么你应该填写为 https://example.com/auth/callback。**这个参数和应用配置里的回调链接没有任何关联**。 |
| 登录模式 | 开启 仅登录模式 后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启 账号身份关联 时,用户通过身份源登录时默认创建新用户。开启 账号身份关联 后,可以允许用户通过 字段匹配 或 询问绑定 的方式直接登录到已有的账号。 |
2.5 配置完成后,点击 创建 或者 保存 按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:使用托管登录页
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 PC 微信扫码 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用 
3.3 点击 GenAuth 控制台的应用 体验登录 按钮,在弹出的登录窗口体验 PC 微信扫码 登录 
微信 PC 小程序扫码
场景介绍
- 概述:这是 GenAuth 的一个开创性的设计,在 GenAuth 中开启扫描小登录二维码登录后可以获得微信官方的实名用户信息, 用户一键授权即可以真实号码完成注册或者登录,为开发者建立以手机号码为基础的账号体系。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通微信公众平台账号,请先前往 微信公众平台注册并登录。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在微信公众平台创建一个小程序(可选)
默认情况下,小程序扫码登录会使用 GenAuth 提供的默认小程序,如果你需要有更强的品牌定制能力,或者想让通过小程序扫码登录的用户微信账号和自己的其他微信公众平台打通,你需要申请自己的小程序。
如果你属于这两种场景的一种,请前往 微信公众平台指引创建一个微信小程序,你需要记录下该应用的 App ID 和 App Secret,后面需要用到。
同时你需要联系我们获取小登录的源码,详情请咨询 GenAuth 售后服务人员。
第二步:在 GenAuth 控制台配置微信小程序
2.1 请在 GenAuth 控制台的 社会化身份源 页面,点击 创建社会化身份源 按钮,进入 选择社会化身份源 页面。
2.2 在 选择社会化身份源 页面,点击 微信 卡片,进入 微信登录模式 页面。
2.3 继续点击 PC 小程序扫码 登录模式,或者点击 添加 打开 PC 小程序扫码 配置页面。 
2.4 在 PC 小程序扫码 配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Callback URL | 身份源完成认证后的业务回调地址 |
| 小程序 Logo | 上传后的 Logo,将作为小程序二维码中央的 Logo。 |
| 页面 | 默认是主页,如果不填写这个字段,默认跳主页面。 |
| 是否开启私有化部署 | 如果你想使用自己主体的微信或自定义小登录小程序页面样式,可以联系我们获取小登录小程序的源码。如果开启这个选项,你必须部署一份自己的小登录小程序,并填写微信小程序的 AppID 和 AppSecret。 |
| 小程序 ID | 小程序的 AppID,选择私有化小程序的用户填。 |
| 小程序密钥 | 小程序的 AppSecret,选择私有化小程序的用户填。 |
| 登录模式 | 开启 仅登录模式 后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启 账号身份关联 时,用户通过身份源登录时默认创建新用户。开启 账号身份关联 后,可以允许用户通过 字段匹配 或 询问绑定 的方式直接登录到已有的账号。 |
2.5 配置完成后,点击 创建 或者 保存 按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:使用托管登录页
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 PC 小程序扫码 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用 
3.3 点击 GenAuth 控制台的应用 体验登录 按钮,在弹出的登录窗口体验 PC 小程序扫码 登录
微信公众号关注
场景介绍
- 概述:关注公众号登录 指的是在 PC 网站上生成微信公众号的二维码,用户使用微信 APP 扫码,关注公众号之后实现自动登录的过程。使用 关注公众号登录 可以快速为公众号引流,提升品牌粘性。借助 GenAuth 的 关注公众号登录,你几乎不需要开发任何代码,只需简单的配置,几分钟就能完成。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 受微信平台要求限制,只有服务号具备生成带参数的二维码API 能力,请确保你的公众号是服务号类型。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:开启服务器配置
获取公众号开发信息
你可以在微信公众平台后台的 设置与开发 -> 基本配置 页面获取 开发者 ID(AppID) 和 开发者密码(AppSecret),后面步骤2会用到。 
设置 IP 白名单
你需要将 GenAuth 服务器的 IP 加入到微信公众号的 IP 白名单中,你可以点击此处获取 GenAuth 服务器对外的 IP 列表。 
添加 API 权限
你需要在微信公众号平台的设置与开发-接口权限页面添加生成带参数的二维码接口权限: 
选择服务器配置模式
你可以在微信公众平台后台的 设置与开发 -> 基本配置 页面,开启服务器配置,当用户扫描公众号二维码、关注公众号之后,GenAuth 就可以接收到用户扫码和关注事件,从而完成登录。
由于微信服务器配置只能设置一个,所以你需要根据自己的具体场景选择两种不同模式:
- 模式一:设置服务器地址为 GenAuth 服务器端点,这种模式最为简单,但是微信公众号的所有事件都会推送到 GenAuth 服务器,你会丢失掉除扫码和关注之外的其他事件。
- 模式二:设置服务器地址为自己的服务器,然后将扫码和关注事件转发至 GenAuth 服务器端点,这种模式需要进行一定开发工作,但是不会丢失事件,且利于之后基于公众号事件做更多扩展。
模式一
- URL:设置为
https://core.authing.cn/connections/social/{Identifier}/{USERPOOL_ID}/events,将其中的{Identifier}替换为你在 GenAuth 控制台配置区输入的 唯一标识,并将其中的{USERPOOL_ID}替换为你的用户池 ID。
如果还没有
Identifier,可以之后创建好身份源再回这里修改。
- Token:你可以在微信公众号内设置 Token 为任意字符串,必须为英文或数字,长度为 3-32 字符,并确保你在 GenAuth 控制台配置的 token 和所需接入的公众号提供的 token 一致。
- EncodingAESKey:消息加密密钥由 43 位字符组成,可随机修改,字符范围为 A-Z,a-z,0-9。
- 消息加解密方式:请根据业务需要选择,推荐使用安全模式。
点击提交保存,最后别忘了启用此服务器配置: 
模式二
配置流程和模式一完全一致,只需要将 URL 设置为你自己的服务器地址即可。你需要在自己配置的服务器端点完成接口验证、消息转发操作。
具体流程和示例代码,请见此 Demo。
第二步:在 GenAuth 控制台配置微信公众号关注
2.1 请在 GenAuth 控制台的 社会化身份源 页面,点击 创建社会化身份源 按钮,进入 选择社会化身份源 页面。
2.2 在 选择社会化身份源 页面,点击 微信 卡片,进入 微信登录模式 页面。
2.3 继续点击 微信公众号关注 登录模式,或者点击 添加 打开 微信公众号关注 配置页面。 
2.4 在 微信公众号关注 配置页面,填入从步骤一中获取的相关字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 开发者 ID | 开发者 ID 是公众号开发识别码,配合开发者密码可调用公众号的接口能力。 |
| 开发者密码 | 开发者密码是校验公众号开发者身份的密码。 |
| 令牌 | 必须为英文或数字,长度为 3-32 字符。 |
| 消息加解密密钥 | 消息加密密钥由 43 位字符组成,可随机修改,字符范围为 A-Z,a-z,0-9。如果你选择的消息加解密方式为明文模式,此项可以留空。 |
| 消息加解密方式 | 请选择你在微信公众号选择的相同的消息加解密方式。 |
| 登录模式 | 开启 仅登录模式 后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启 账号身份关联 时,用户通过身份源登录时默认创建新用户。开启 账号身份关联 后,可以允许用户通过 字段匹配 或 询问绑定 的方式直接登录到已有的账号。 |
2.5 配置完成后,点击 创建 或者 保存 按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:使用托管登录页
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 微信公众号关注 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用 
3.3 点击 GenAuth 控制台的应用 体验登录 按钮,在弹出的登录窗口体验 微信公众号关注 登录
如何取消公众号对 GenAuth 作为第三方平台的授权?
- 登录微信公众号平台;
- 进入「设置与开发 - 公众号设置 - 授权管理」页面;
- 如下图所示,点击「查看平台详情」;
- 进入「授权管理」页面,确认信息后,点击下方「取消授权」按钮,即可取消当前公众号对 GenAuth 作为第三方平台的授权;
- 上图中取消授权后,GenAuth 将自动解绑。可返回 GenAuth 控制台页面查看,页面将返回授权前的状态。
微信移动端
场景介绍
- 概述:GenAuth 为开发者提供了一种在移动端(iOS or 安卓)应用中快速跳转微信登录获取用户信息的方式,通过简单的调用 GenAuth 移动端 SDK 可以完成微信账号接入。
- 应用场景:移动 APP
- 终端用户预览图:在移动应用中拉起微信 APP 进行登录;
注意事项
- 如果你未开通微信开放平台账号,请前往微信开放台 注册开发者账号;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号;
第一步:在微信开放平台创建一个微信移动应用
前往 微信开放平台创建一个 微信移动应用。 
创建完成之后,你需要记录下该应用的 AppID 和 AppSecret,后面需要用到。
第二步:在 GenAuth 控制台配置微信移动端登录
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「微信」卡片,进入「微信登录模式」页面。
2.3 点击「微信移动端」登录模式,或者点击 … 添加 打开「微信移动端」配置页面。 
2.4 在「微信移动端」配置页面,填写相关的字段信息。
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上 |
| AppID | 步骤 1 中获得的 AppID |
| App secret | 步骤 1 中获得的 AppSecret |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择 |
2.5 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:SDK
- 优劣势描述:接入简单,只需要几行代码。可自定义程度最高。
- 详细接入方法:
3.1 请根据微信登录 SDK 接入文档(安卓),接入你的安卓应用;请根据微信登录 SDK 接入文档(iOS),接入你的 IOS 应用;
3.2 在 GenAuth 控制台创建一个移动应用,详情查看:如何在 GenAuth 创建一个应用
3.3 在已创建好的「微信移动」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的移动端应用; 
3.4 前往相关联的移动端 APP,体验 APP 登录功能。
APP 拉起微信小程序
场景介绍
概述:GenAuth 通过 SDK 为开发者提供了一种 移动应用快速调起微信小程序并获取用户信息及完成登录的方法。通过 GenAuth 的 SDK 可以方便地获取微信提供的用户身份标识,快速建立以手机号码为基础的账号体系。
应用场景:移动 APP
终端用户预览图:
注意事项
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号;
第一步:在微信开放平台创建一个微信移动应用
前往 微信开放平台创建一个 微信移动应用。
创建完成之后,你需要记录下该应用的 AppID 和 AppSecret,后面需要用到。
第二步:在微信开放平台关联小程序
前往 微信开放平台 的 管理中心->移动应用->应用详情->关联小程序信息页面 关联小程序。
第三步:在微信开放平台创建一个微信小程序(可选)
默认情况下,APP 拉起小程序登录会使用 GenAuth 提供的默认小程序,如果你需要有更强的品牌定制能力,或者想让通过小程序扫码登录的用户微信账号和自己的其他微信公众平台打通,你需要申请自己的小程序。如果你属于这两种场景的一种:
请按照微信公众平台指引创建一个微信小程序,你需要记录下该应用的 AppID 和 AppSecret,后面需要用到。同时你需要联系我们获取小登录的源码,详情请咨询 GenAuth 售后服务人员。
第四步:在 GenAuth 控制台配置 APP 拉起小程序登录
- 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
- 在「选择社会化身份源」页面,点击「微信」卡片,进入「微信登录模式」页面。
- 点击「APP 拉起小程序」登录模式,或者点击 … 添加 打开「APP 拉起小程序」配置页面。
- 在「APP 拉起小程序」配置页面,填写相关的字段信息。
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上 |
| 小程序 ID | 选择私有化小程序的用户填写 |
| 小程序 secret | 选择私有化小程序的用户填写 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择 |
- 配置完成后,点击「创建」或者「保存」按钮完成创建。
第五步:开发接入
推荐开发接入方式:SDK
优劣势描述:接入简单,只需要几行代码。可自定义程度最高。
详细接入方法:
- 前往相关联的移动端 APP,体验 APP 登录功能。
华为
场景介绍
- 概述:华为 社会化登录是用户以 华为 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 华为 的社会化登录,即可实现通过 GenAuth 快速获取 华为 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 华为 账号,请先前往 华为开发者联盟网站上注册成为开发者并完成实名认证,具体方法请参见 华为帐号注册认证。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 华为 创建一个服务器应用
登录华为开发者联盟官网,点击 管理中心: 
在管理中心页面,点击帐号: 
在帐号页面,点击申请帐号服务: 
选择服务器应用,选择 创建产品 并配置应用的回调地址
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
最后点击「提交」,创建完成之后,你需要记录下 APP ID 和 APP SECRET,下一步需要用到。 
第二步:在 GenAuth 控制台配置 华为 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「华为」卡片。 
2.3 在「华为」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | 上一步获取的 华为 应用 ID。 |
| APP Secret | 上一步获取的 华为 应用 Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「华为」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「华为」登录
华为移动端
场景介绍
概述
华为 社会化登录是用户以 华为 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 华为 的社会化登录,即可实现通过 GenAuth 快速获取 华为 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你还没有 华为 账号,请先前往 华为开发者联盟网站上注册成为开发者并完成实名认证,具体方法请参见 华为帐号注册认证。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 华为 创建一个服务器应用
登录华为开发者联盟官网,点击 管理中心: 
在管理中心页面,点击帐号: 
在帐号页面,点击申请帐号服务: 
选择产品类型,选择 创建产品,并配置应用的回调地址
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
最后点击「提交」,创建完成之后,你需要记录下 APP ID 和 APP SECRET,下一步需要用到。 
第二步:在 GenAuth 控制台配置 华为移动端 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「华为」身份源按钮,进入 「华为移动端登录模式」页面。 
2.3 在「华为移动端」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | 上一步获取的 华为 应用 ID。 |
| APP Secret | 上一步获取的 华为 应用 Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完小米移动端身份源后,需要将回调地址配置到小米开放平台上的移动应用信息里面的授权回调地址。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「华为移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 华为 第三方登录(如 终端用户预览图 所示)。
荣耀
场景介绍
- 概述:荣耀 社会化登录是用户以 荣耀 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 荣耀 的社会化登录,即可实现通过 GenAuth 快速获取 荣耀 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 荣耀 账号,请先前往 荣耀开发者服务平台上注册成为开发者并完成实名认证,具体方法请参见 荣耀开发者帐号注册认证。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 荣耀 创建一个服务器应用
登录荣耀开发者服务平台,点击 管理中心: 
在管理中心页面,点击帐号服务: 
在帐号服务页面,依次点击操作 请选择应用 → Web应用 → 新建应用: 
选择平台类型为Web → 填入应用名称 → 选择默认语言 → 上传应用图标 → 创建
回到 账号服务页面 点击 启用
配置应用的回调地址
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
最后点击「提交」,创建完成之后,你需要记录下 应用 ID 和 APP SECRET,下一步需要用到。 
第二步:在 GenAuth 控制台配置 荣耀 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「荣耀」卡片。 
2.3 在「荣耀」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | 上一步获取的 荣耀 应用 ID。 |
| APP Secret | 上一步获取的 荣耀 应用 Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「荣耀」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「荣耀」登录
小米
场景介绍
- 概述:小米 社会化登录是用户以 小米 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 小米 的社会化登录,即可实现通过 GenAuth 快速获取 小米 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 小米 账号,请先前往 小米开放平台上注册成为开发者。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 小米 创建一个网页应用
登录小米开放平台,点击 管理中心: 
在管理中心页面,点击帐号服务: 
在帐号服务页面,点击创建新应用 并选择 网页应用: 
在创建应用页面,填写应用名称,并点击确定: 
创建完成后,回到帐号服务页面,点击刚创建的应用,选择立即启用
在弹出窗口配置应用的回调地址
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
创建完成之后,查看应用详情,记录下 APP ID 和 APP SECRET,下一步需要用到。 
第二步:在 GenAuth 控制台配置 小米 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「小米」卡片。 
2.3 在「小米」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | 上一步获取的 小米 应用 ID。 |
| APP Secret | 上一步获取的 小米 应用 Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「小米」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「小米」登录
小米移动端
场景介绍
概述
小米 社会化登录是用户以 小米 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 小米 的社会化登录,即可实现通过 GenAuth 快速获取 小米 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你还没有 小米 账号,请先前往 小米开放平台上注册成为开发者。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 小米 创建一个手机/平板应用
登录小米开放平台,点击 管理中心: 
在管理中心页面,点击帐号服务: 
在帐号服务页面,点击创建新应用 并选择 手机/平板应用: 
在创建新应用页面,填写应用信息,并点击创建: 
为刚创建的应用接入「帐号接入服务」:
在弹出窗口配置应用的回调地址
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
创建完成之后,查看应用详情,记录下 AppID 和 AppSecret,下一步需要用到。 
第二步:在 GenAuth 控制台配置 小米 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「小米」身份源按钮,进入 「小米移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「小米移动端」页面,配置相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| AppID | 上一步获取的 小米 应用 ID。 |
| AppSecret | 上一步获取的 小米 应用 Secret。 |
| 回调地址 | 小米有效跳转 URI。需要将此 URL 配置到小米开放平台移动应用的授权回调页上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完小米移动端身份源后,需要将回调地址配置到小米开放平台上的移动应用信息里面的授权回调地址。
第三步:开发接入
- 推荐开发接入方式:SDK
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「小米移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 小米 第三方登录(如 终端用户预览图 所示)。
腾讯 QQ
场景介绍
- 概述:腾讯 QQ 社会化登录是用户以腾讯 QQ 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启腾讯 QQ 的社会化登录,即可实现通过 GenAuth 快速获取腾讯 QQ 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:创建网站应用,创建移动应用
- 终端用户预览图:
注意事项
- 如果你未开通 QQ 互联平台账号,请先前往 QQ 互联中心 注册开发者账号。
- 需要审核通过后,才可创建应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 QQ 开放平台创建一个网站应用
前往 QQ 互联中心,创建一个网站应用。
点击页面左上方的个人 QQ 头像完成注册并发起审核,然后依次点击「网站应用」和「创建应用」来创建一个使用 QQ 登录的网站应用。过程中如遇到任何问题,请参考页面上方的 QQ 官方「文档资料」。
创建应用过程中,需要配置允许的回调地址,请使用以下设置:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置腾讯 QQ
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「腾讯 QQ」身份源按钮,进入 「腾讯 QQ 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「腾讯 QQ」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | QQ 应用编号,需要在 QQ 开放平台上获取。 |
| APP Key | QQ 应用密钥,需要在 QQ 开放平台上获取。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| Scopes | 默认情况下,GenAuth 只会向用户申请基础用户信息(如头像、昵称等)的授权,如果你需要更多高级权限,可以勾选上对应的选项。 |
| 回调地址 | QQ 有效跳转 URI。需要将此 URL 配置到 QQ 开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。a.关联方式:选择 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完腾讯 QQ 身份源后,需要将回调地址配置到 QQ 互联的开放平台上的平台信息里面的网站回调域。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 QQ 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 QQ 第三方登录
腾讯 QQ 移动端
场景介绍
概述
腾讯 QQ 社会化登录是用户以腾讯 QQ 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启腾讯 QQ 的社会化登录,即可实现通过 GenAuth 快速获取腾讯 QQ 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通 QQ 互联平台账号,请先前往 QQ 互联中心 注册开发者账号。
- 需要审核通过后,才可创建应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 QQ 开放平台创建一个移动应用
前往 QQ 互联中心,创建一个移动应用。
点击页面左上方的个人 QQ 头像完成注册并发起审核,然后依次点击「移动应用」和「创建应用」来创建一个使用 QQ 登录的移动应用。过程中如遇到任何问题,请参考页面上方的 QQ 官方「文档资料」。
第二步:在 GenAuth 控制台配置腾讯 QQ
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「腾讯 QQ」身份源按钮,进入 「腾讯 QQ 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「腾讯 QQ 移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | QQ 应用编号,需要在 QQ 开放平台上获取。 |
| APP Key | QQ 应用密钥,需要在 QQ 开放平台上获取。 |
| 申请 unionid | 如果开启,需要先在 QQ 互联应用接口中开启「平台统一 ID 信息」。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 QQ 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 QQ 第三方登录(如 终端用户预览图 所示)。
新浪微博
场景介绍
- 概述:新浪微博社会化登录是用户以新浪微博为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启新浪微博的社会化登录,即可实现通过 GenAuth 快速获取新浪微博基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:网站接入(PC),移动应用(MOBILE)
- 终端用户预览图:
注意事项
- 如果你未开通微博开放平台账号,请先前往 微博开放平台 注册开发者账号。
- 需要身份认证通过后,才可创建应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在微博开放平台创建一个应用
前往微博开放平台按照官方指引创建一个网站应用。
点击页面右上方头像图标,选择开发者信息进行基本信息和身份认证,认证通过后创建一个网站应用。如有无法解决的问题可私信微博开放平台咨询。
创建应用过程中,需要配置允许的回调地址,请使用以下设置:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置新浪微博
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「新浪微博」身份源按钮,进入 「新浪微博登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「新浪微博」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | 新浪微博编号,需要在微博开放平台上获取。 |
| App Secret | 新浪微博密钥,需要在微博开放平台上获取。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| Scopes | 默认情况下,GenAuth 只会向用户申请基础用户信息(如头像、昵称等)的授权,如果你需要更多高级权限,可以勾选上对应的选项。 |
| 回调地址 | 新浪微博有效跳转 URI。需要将此 URL 配置到微博开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完新浪微博身份源后,需要将回调地址配置到微博开放平台上的平台信息里面的网站回调域。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的新浪微博身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验新浪微博第三方登录
新浪微博移动端
场景介绍
概述
新浪微博社会化登录是用户以新浪微博为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启新浪微博的社会化登录,即可实现通过 GenAuth 快速获取新浪微博基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通微博开放平台账号,请先前往 微博开放平台 注册开发者账号。
- 需要身份认证通过后,才可创建应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在微博开放平台创建一个应用
前往微博开放平台按照官方指引创建一个移动应用。
点击页面右上方头像图标,选择开发者信息进行基本信息和身份认证,认证通过后创建一个移动应用。如有无法解决的问题可私信微博开放平台咨询。
创建应用过程中,需要配置允许的回调地址,请使用以下设置:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置新浪微博
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「新浪微博」身份源按钮,进入 「新浪微博登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「新浪微博移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APP ID | 新浪微博编号,需要在微博开放平台上获取。 |
| App Secret | 新浪微博密钥,需要在微博开放平台上获取。 |
| 回调地址 | 新浪微博有效跳转 URI。需要将此 URL 配置到微博开放平台移动应用的授权回调页上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完新浪微博身份源后,需要将回调地址配置到微博开放平台上的平台信息里面的授权回调页。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的新浪微博身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验新浪微博第三方登录(如 终端用户预览图 所示)。
抖音移动端
场景介绍
概述
抖音社会化登录是用户以抖音为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启抖音的社会化登录,即可实现通过 GenAuth 快速获取抖音基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通 抖音开放平台 账号,请先前往 抖音开放平台 注册开发者账号。
- 需要审核通过后,才可创建应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 抖音开放平台 创建一个移动应用
前往 抖音开放平台,创建一个移动应用。
点击页面左上方的 控制台 完成注册并发起审核,然后依次点击「移动应用」和「创建应用」来创建一个使用抖音登录的移动应用。过程中如遇到任何问题,请参考页面上方的抖音官方「文档资料」。
第二步:在 GenAuth 控制台配置抖音移动端
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「抖音」身份源按钮,进入「抖音移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「抖音移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client Key | 抖音移动应用的 Client Key,需要在 抖音开放平台 上获取。 |
| Client Secret | 抖音移动应用的 Client Secret,需要在 抖音开放平台 上获取。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「抖音移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 抖音 第三方登录(如 终端用户预览图 所示)。
快手移动端
场景介绍
概述
快手 社会化登录是用户以 快手 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 快手 的社会化登录,即可实现通过 GenAuth 快速获取 快手 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通 快手开放平台 账号,请先前往 快手开放平台 注册开发者账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 快手开放平台 创建一个移动应用
前往 快手开放平台,创建一个移动应用。
点击页面上方的「管理中心」,然后依次点击「移动应用」和「创建应用」来创建一个使用快手登录的移动应用。过程中如遇到任何问题,请参考页面上方的快手官方「文档资料」。
第二步:在 GenAuth 控制台配置快手
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「快手」身份源按钮,进入「快手移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「快手移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| App Key | 快手移动应用的 App Key,需要在 快手开放平台 上获取。 |
| App Secret | 快手移动应用的 App Secret,需要在 快手开放平台 上获取。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的快手移动端身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 快手 第三方登录(如 终端用户预览图 所示)。
Github
场景介绍
- 概述:Github 社会化登录是用户以 Github 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Github 的社会化登录,即可实现通过 GenAuth 快速获取 Github 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 Github 账号,请先前往 GitHub 注册开发者账号。
- 请按照 GitHub 文档指引创建一个 GitHub OAuth 应用,并记录应用的 Client ID 和 Client Secret。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 Github 创建一个 OAuth 应用程序
在 Github 任何页面的右上角,单击你的个人资料照片,然后单击 Settings(设置)。
在左侧栏中,单击 <> 开发者设置。
在左侧边栏中,单击 OAuth 应用程序。
单击 New OAuth App(新建 OAuth 应用程序)。
在“Application name(应用程序名称)”中,输入应用程序的名称。
在“Homepage URL(主页 URL)”中,输入应用程序网站的完整 URL。
在“Authorization callback URL(授权回调 URL)”中,输入应用程序的回调 URL。
创建应用过程中,需要配置允许的回调地址,请使用以下设置:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置 Github
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「Github」身份源按钮,进入 「Github 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「Github」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | Github 编号,需要在 Github 上获取。 |
| Client secrets | Github 密钥,需要在 Github 上获取。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| Scopes | 默认情况下,GenAuth 只会向用户申请基础用户信息(如头像、昵称等)的授权,如果你需要更多高级权限,可以勾选上对应的选项。 |
| 回调地址 | Github 有效跳转 URI。需要将此 URL 配置到 Github上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 Github 身份源后,需要将回调地址配置到 Github 上的 Authorization callback URL。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Github 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Github 第三方登录
Github 移动端
场景介绍
概述
Github 社会化登录是用户以 Github 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Github 的社会化登录,即可实现通过 GenAuth 快速获取 Github 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通 Github 账号,请先前往 GitHub 注册开发者账号。
- 请按照 GitHub 文档 指引创建一个 GitHub OAuth 应用,并记录应用的 Client ID 和 Client Secret。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 Github 创建一个 OAuth 应用程序
在 Github 任何页面的右上角,单击你的个人资料照片,然后单击 Settings(设置)。
在左侧栏中,单击 <> 开发者设置。
在左侧边栏中,单击 OAuth 应用程序。
单击 New OAuth App(新建 OAuth 应用程序)。
在**Application name(应用程序名称)**中,输入应用程序的名称。
在**Homepage URL(主页 URL)**中,输入应用程序网站的完整 URL。
在**Authorization callback URL(授权回调 URL)**中,输入应用程序的回调 URL。
创建应用过程中,需要配置允许的回调地址,请使用以下设置:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置 Github 移动端
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「Github 移动端」身份源按钮,进入 「Github 移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「Github 移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | 在 Github 申请的 Client ID ,需要在 Github 上获取。 |
| Client secrets | 在 Github 申请的 Client secrets,需要在 Github 上获取。 |
| 回调地址 | Github 有效跳转 URI。需要将此 URL 配置到 Github 上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完「Github 移动端」身份源后,需要将回调地址配置到 Github 上的 Authorization callback URL。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Github 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Github 第三方登录(如 终端用户预览图 所示)。
Facebook
场景介绍
- 概述:Facebook 社会化登录是用户以 Facebook 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Facebook 的社会化登录,即可实现通过 GenAuth 快速获取 Facebook 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 Facebook 开放平台账号,请先前往 Facebook 开放平台 注册开发者账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号。
第一步:创建 Facebook 应用
前往 developers.facebook.com,点击我的应用,然后创建新应用并选择消费者或无应用类型,填写应用名称。
在控制面板中,找到 Facebook 登录 产品,然后点击设置,将其添加至你的应用。之后在左侧的菜单中设置>基本中找到该应用编号和应用密钥,并记录下。
步骤 2: 在 GenAuth 控制台配置 Facebook
2.1 请在 GenAuth Console 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「Facebook」身份源按钮,进入 「Facebook 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「Facebook」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 应用编号 | 应用编号,需要在 Facebook 开放平台上获取。 |
| 应用密钥 | 应用编号,需要在 Facebook 开放平台上获取。 |
| Scopes | Scopes,数据权限需要在 Facebook 开放平台上申请 |
| 回调地址 | Facebook 有效 OAuth 跳转 URI。需要将此 URL 配置到 Facebook 开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 Facebook 身份源后,需要将回调地址配置到 Facebook 的开放平台上的 Facebook 应用中OAuth 客户端授权设置。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Facebook 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验 Facebook 第三方登录
Facebook 移动端
场景介绍
概述
GenAuth 为开发者提供了一种在移动端(iOS 或安卓)应用中快速跳转 Facebook 登录获取用户信息的方式,通过简单地调用 GenAuth 移动端 SDK 可以完成 Facebook 账号接入。
应用场景
移动 APP
终端用户预览图
在移动应用中拉起 Facebook 页面进行登录。
准备工作
如果你未开通 Facebook 账号,请先前往 Facebook 注册。
打开Facebook开发者平台,请先前往 Facebook 开发者平台 登录,根据页面提示完善账户信息,完成注册。
如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号。
配置步骤
第一步:在 Facebook 开发者平台创建应用
- 创建 Facebook 应用,获取应用编号和应用密钥
完成Facebook 开发者平台注册登录后,点击「创建应用」。
选择应用类型,点击「继续」。
填写应用显示名、应用联系邮箱后,点击「创建应用」。
在「设置」->「基本」中,点击「添加平台」
在「设置」->「基本」中,查看「应用编号」和「应用密钥」
在 「产品」 中,设置 Facebook 登录。
Android
请参阅 Android 版 Facebook 登录 — 快速入门
INFO
- 需要登录你的移动端应用后台获取 Package name(安卓应用包名)和 SHA-1 certificate fingerprint(安卓应用的 SHA-1)。
- 设置保存后到生效需一段时间,请耐心等待。
iOS
INFO
- 可以在 Apple Store Connect 获取 Bundle ID。
第二步:在 GenAuth 控制台配置 Facebook 移动端登录
- 在 Atuhing 控制台 的 社会化身份源 页面点击 创建社会化身份源 按钮,进入 选择社会化身份源 页面。
- 在 GenAuth 控制台 的 身份源管理->社会化身份源->选择社会化身份 页面,点击 「Facebook」身份源卡片,进入 Facebook 登录模式选择页面。
- 选择 Facebook 移动端 进入。
- 请在 GenAuth 控制台 的「社会化身份源」-「Facebook 移动端」页面,配置相关的字段信息。
字段 说明 唯一标识
- 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。
- 这是此连接的唯一标识,设置之后不能修改。 显示名称 这个名称会显示在终端用户的登录界面的按钮上。 应用编号 填入 Facebook 开发者平台上申请的应用编号。在「设置」->「基本」中,获取「应用编号」。 应用密钥 填入 Facebook 开发者平台上申请的应用的应用密钥。在「设置」->「基本」中,获取「应用密钥」。 登录模式 开启 仅登录模式 后,只能登录既有账号,不能创建新账号,请谨慎选择。 账号绑定 不开启 账号绑定 时,用户通过身份源登录时默认创建新用户;开启 账号绑定 后,可以允许用户通过 字段匹配 的方式直接登录到已有的账号。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的 Facebook 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验 Facebook 第三方登录(如 终端用户预览图 所示)。
Twitter
场景介绍
- 概述 Twitter 社会化登录是用户以 Twitter 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Twitter 的社会化登录,即可实现通过 GenAuth 快速获取 Twitter 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 Twitter 账号,请先前往 Twitter 平台 进行账号注册。
- 前往 Twitter 开发者平台完善账号信息, 并为账号申请 Elevated access 权限。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建 Twitter 应用
1.1 创建一个项目,在侧边栏 Projects & Apps,选择 Overview,在 Elevated 目录下,点击 +New Project。
依次填写好项目名称、使用场景、项目描述后,开始应用的创建。
在开发阶段,应用环境先选择 Development,调试完成后切换到 Production
填写完名称后会看到 APP Key 和 APP Key Secret ,先记录下来,在 GenAuth 控制台配置时会用到
第二步:在 GenAuth 控制台配置 Twitter
2.1 请在 GenAuth Console 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面,选择「Twitter」身份源按钮,进入 「Twitter 登录模式」页面。
2.3 请在 GenAuth Console 控制台 的「社会化身份源」-「Twitter」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| API Key | 应用编号,需要在 Twitter 平台上获取 |
| API Secret Key | 应用密钥,需要在 Twitter 平台上获取 |
| Callback URL | 这是你的业务回调域名,和自建应用配置的回调链接不是一个概念,也和第三方社会化登录控制台的回调地址配置无关。比如你的网站域名是 https://example.com , 处理 GenAuth 回调请求的 url 为 /auth/callback , 那么你应该填写为 https://example.com/auth/callback。这个参数已经不推荐使用,建议在应用中单独配置回调链接,此处地址可填入 #。 |
| 回调地址 | Twitter 的重定向 URI。需要将此 URL 配置到 Twitter 平台所创建应用的回调地址上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 Twitter 创建的项目,选择刚刚创建的应用,滑动到下方,在 User authentication settings 栏目下,点击 Set Up 按钮,进入认证设置页 
开启 OAuth 1.0a 
根据需要选择 App 的权限,默认选择 Read,就可以满足认证功能,Callback URI / Redirect URL填写在 GenAuth 控制台上创建 Twitter 身份源后,所展示的回调地址。 
Website URL填写你的站点主页即可,然后点击保存 
如果忘记了应用的 Key,可以在应用页点击 Keys and tokens,选择 Regenerate 重新生成。 
完成配置后回到应用设置页面,点击Edit,把应用环境切换到 Production。 
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Twitter 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Twitter 第三方登录
Twitter 移动端
场景介绍
概述
GenAuth 为开发者提供了一种在移动端(iOS 或安卓)应用中快速跳转 Twitter 登录获取用户信息的方式,通过简单地调用 GenAuth 移动端 SDK 可以完成 Twitter 账号接入。
应用场景
移动 APP
终端用户预览图
注意事项
- 如果你还没有 Twitter 账号,请先前往 Twitter 平台 进行账号注册。
- 前往 Twitter 开发者平台完善账号信息, 并为账号申请 Elevated access 权限。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建 Twitter 应用
1.1 创建一个项目,在侧边栏 Projects & Apps,选择 Overview,在 Elevated 目录下,点击 +New Project。
依次填写好项目名称、使用场景、项目描述后,开始应用的创建。
在开发阶段,应用环境先选择 Development,调试完成后切换到 Production
填写完名称后会看到 APP Key 和 APP Key Secret ,先记录下来,在 GenAuth 控制台配置时会用到
第二步:在 GenAuth 控制台配置 Twitter 移动端登录
2.1 请在 GenAuth Console 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面,选择「Twitter」身份源按钮,进入 「Twitter 移动端登录模式」页面。
2.3 请在 GenAuth Console 控制台 的「社会化身份源」-「Twitter 移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| API Key | 应用编号,需要在 Twitter 平台上获取 |
| API Key Secret | 应用密钥,需要在 Twitter 平台上获取 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 Twitter 创建的项目,选择刚刚创建的应用,滑动到下方,在 User authentication settings 栏目下,点击 Set Up 按钮,进入认证设置页 
根据需要选择 App 的权限,默认选择 Read,就可以满足认证功能 
如果忘记了应用的 Key,可以在应用页点击 Keys and tokens,选择 Regenerate 重新生成。 
完成配置后回到应用设置页面,点击Edit,把应用环境切换到 Production。 
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Twitter 移动端身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Twitter 第三方登录(如 ](#终端用户预览图) 所示)。
Google
场景介绍
- 概述:Google 社会化登录是用户以 Google 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Google 的社会化登录,即可实现通过 GenAuth 快速获取 Google 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:Web 端
- 终端用户预览图:
注意事项
- 如果你未开通 Google 账号,请先前往 Google 开发者控制台 注册电子邮箱。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 Google 开发者控制台创建一个 OAuth 应用程序
- 在 Credentials 页面,点击 Create credentials, 然后选择 OAuth client ID。
- 选择应用类型为 Web Application,填入 Authorized redirect URIs。
- 点击 [Create] 按钮;
- 创建成功之后,在下一个页面你可以获取到此应用的 Client ID 和 Client Secret,你需要记录下来。
第二步:在 GenAuth 控制台配置 Google
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「Google」身份源按钮,进入 「Google 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「Google」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | Google 编号,需要在 Google 开放平台上获取。 |
| Client secrets | Google 密钥,需要在 Google 开放平台上获取。 |
| Domain Verification File Name | Google 域名验证 HTML 文件名,如 xxxx.html |
| Domain Verification File Content | Google 域名验证 HTML 文件内容 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| Scopes | 默认情况下,GenAuth 只会向用户申请基础用户信息(如头像、昵称等)的授权,如果你需要更多高级权限,可以勾选上对应的选项。 |
| 回调地址 | Google 有效跳转 URI。需要将此 URL 配置到 Google 开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 Google 身份源后,需要将回调地址配置到 Google 开放平台上的 Authorized redirect URI。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Google 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Google 第三方登录
Google 移动端
场景介绍
概述
GenAuth 为开发者提供了一种在移动端(iOS 或安卓)应用中快速跳转谷歌登录获取用户信息的方式,通过简单地调用 GenAuth 移动端 SDK 可以完成谷歌账号接入。
应用场景
移动 APP
终端用户预览图
在移动应用中拉起谷歌页面进行登录。
准备工作
如果你未开通 Google 账号,请先前往 Google 注册。
如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号。
配置步骤
第一步:在谷歌开放平台分别创建三个 OAuth client ID
Web application
打开 Google API Console Credentials 控制台。
在 Credentials 页面,选择顶部 CREATE CREDENTIALS->OAuth client ID。
- 选择 Application type 为 Web application,填写 Name 及 Authorized redirect URIs(暂写一个合法的地址),点击 CREATE 按钮。
- 创建成功后,在下一个页面你可以获取到此应用的 Your Client ID 和 Your Client Secret,记录下来。
Android
打开 Google API Console Credentials 控制台。
在 Credentials 页面,选择顶部 CREATE CREDENTIALS->OAuth client ID。
选择 Application type 为 Android,填写 Name、Package name 和 SHA-1 certificate fingerprint,点击 CREATE 按钮。
INFO
- 需要登录你的移动端应用后台获取 Package name(安卓应用包名)和 SHA-1 certificate fingerprint(安卓应用的 SHA-1)。
- 设置保存后到生效需一段时间,请耐心等待。
- 在查看页面下载并保存 JSON 文件,交给安卓开发工程师(有关后续详细操作,请参阅 Google 移动端开发者文档 - Android)。
iOS
打开 Google API Console Credentials 控制台。
在 Credentials 页面,选择顶部 CREATE CREDENTIALS->OAuth client ID。
选择 Application type 为 iOS,填写 Bundle ID、App Store ID 和 Team ID,点击 CREATE 按钮。
INFO
Bundle ID 和 App Store ID
INFO
Team ID
INFO
- 可以在 Apple Store Connect 获取 Bundle ID 和 App Store ID。
- 可以在 Apple 开发者后台 获取 Team ID。
- 设置保存后到生效需一段时间,请耐心等待。
- 下载并保存相应的 PLIST 文件并交给 iOS 开发工程师(有关后续详细操作,请参阅 Google 移动端开发者文档 - iOS)。
第二步:在 GenAuth 控制台配置谷歌移动端登录
- 在 Atuhing 控制台 的 社会化身份源 页面点击 创建社会化身份源 按钮,进入 选择社会化身份源 页面。
- 在 GenAuth 控制台 的 身份源管理->社会化身份源->选择社会化身份 页面,点击 「Google」身份源卡片,进入 Google 登录模式选择页面。
- 选择 Google 移动端 进入。
- 在 GenAuth 控制台 的 Google 移动端 页面,配置相关字段信息。
字段 说明 唯一标识
- 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。
- 这是此连接的唯一标识,设置之后不能修改。 显示名称 这个名称会显示在终端用户的登录界面的按钮上。 Client ID 填入 Google 开放平台上Application type 为 Web application 时获取的 Your Client ID。 Client Secret 填入 Google 开放平台上 Application type 为 Web application 时获取的 Client Secret。 Callback URL 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 回调地址 Google 有效跳转 URI。需要将此 URL 配置到 Google 开放平台上。 登录模式 开启 仅登录模式 后,只能登录既有账号,不能创建新账号,请谨慎选择。 账号身份关联 不开启 账号身份关联 时,用户通过身份源登录时默认创建新用户;开启 账号身份关联 后,可以允许用户通过 字段匹配 或 询问绑定 的方式直接登录到已有的账号。
- 配置完成后,点击 创建 或者 保存 按钮完成创建。
INFO
在 GenAuth 控制台上创建完 Google 身份源后,需要将回调地址配置到 Google 开放平台上的 Authorized redirect URI。
第三步:开发接入
推荐开发接入方式
SDK
优劣势描述
运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法
在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
在已创建好的 Google 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
- 在登录页面体验 Google 第三方登录(如 终端用户预览图 所示)。
Apple 移动端
场景介绍
- 概述:Apple 社会化登录是用户以 Apple 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Apple 的社会化登录,即可实现通过 GenAuth 快速获取 Apple 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:iOS 移动端
- 终端用户预览图:
注意事项
- 请确保你已经申请了苹果开发者账号,否则无法进行以下操作。申请个人、公司账号地址 , 申请企业账号地址;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号;
第一步:在 Apple 开发者中心进行配置
1.1 获取 Team ID
前往 Apple Developer Portal 的 Membership 页面,记录下Team ID: 
1.2 创建一个 App ID
- 在 Apple Developer Portal, Certificates, Identifiers & Profiles > Identifiers 页面,点击 ➕ 图标创建应用:
- 选择 App IDs 然后点击 Continue 按钮继续:
- 选择应用类型,然后点击 Continue 按钮继续:
- 填写 Description 和 Bundle ID,并且在下面找到 Sign in with Apple 并勾选,请记录下此 Bundle ID:
- 最后点击 Continue 按钮,在打开的页面中确认信息,点击 Register 按钮创建应用。
1.3 创建一个 Service ID
- 回到 Certificates, Identifiers & Profiles > Identifiers 页面,点击 ➕ 图标,选择 Services IDs 然后点击 Continue 按钮继续:
- 填写 Description 和 Identifier,然后点击 Continue 按钮,在打开的确认页面点击 Register 按钮创建 Service:
- 找到刚刚创建的 Service,选中 Sign In with Apple,点击 Configure:
- 填写 Domains and Subdomains 和 Return URLs:
- Domains and Subdomains:请填入
core.authing.cn - Return URLs:请填入在 GenAuth 控制台 上获取的回调地址字段信息:
- 点击 Save,Continue,最后点击 Register,并记录下该 Service ID。
1.4 配置 Signing Key
- 回到 Certificates, Identifiers & Profiles 页面,切换到 Keys Tab,点击 ➕ 图标:
- 输入名称并勾选上 Sign in with Apple, 点击 Configure,确保选中的 Primary App ID 是你刚刚创建的那一个:
- 点击 Save, Continue, 最后点击 Register.
- 创建之后,记录下 Key ID,然后点击 Download 下载该密钥:
第二步:在 GenAuth 控制台配置 Apple 应用
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「Apple」卡片。 
2.3 继续点击「Apple 移动端」登录模式,或者点击「… 添加」打开「Apple 移动端」配置页面。 
2.4 在「Apple 移动端」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Bundle ID | 请输入 Apple 的 Bundle ID。 |
| Team ID | Apple 开发者团队 ID。 |
| Key ID | Apple Signing Key 的 ID。 |
| Key | Apple Signing Key 的内容。 |
| 回调地址 | a.请在苹果开发者平台的创建应用页面,粘贴该回调地址; b.确认该回调地址中的唯一标识部分要与创建后的身份源中的唯一标识部分保持一致; |
| Scopes | 可以勾选 Name 和 Email Address。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.5 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:接入简单,只需要几行代码。可自定义程度最高。
详细接入方法:
3.1 请根据 苹果登录 SDK 接入文档 接入你的 iOS 应用;
3.2 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.3 在已创建好的「Apple」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的移动端应用;
3.4 前往相关联的移动端 APP,体验 APP 登录功能。
Apple Web 端
场景介绍
- 概述:Apple 社会化登录是用户以 Apple 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Apple 的社会化登录,即可实现通过 GenAuth 快速获取 Apple 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 请确保你已经申请了苹果开发者账号,否则无法进行以下操作。申请个人、公司账号地址:https://developer.apple.com/programs/ , 申请企业账号地址:https://developer.apple.com/programs/enterprise/
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 Apple 开发者中心进行配置
获取 Team ID
前往 Apple Developer Portal 的 Membership 页面,记录下Team ID:
创建一个 App ID
- 在 Apple Developer Portal, Certificates, Identifiers & Profiles > Identifiers 页面,点击 ➕ 图标创建应用:
- 选择 App IDs 然后点击 Continue 按钮继续:
- 选择应用类型,然后点击 Continue 按钮继续:
- 填写 Description 和 Bundle ID,并且在下面找到 Sign in with Apple 并勾选,请记录下此 Bundle ID:
- 最后点击 Continue 按钮,在打开的页面中确认信息,点击 Register 按钮创建应用。
创建一个 Service ID
- 回到 Certificates, Identifiers & Profiles > Identifiers 页面,点击 ➕ 图标,选择 Services IDs 然后点击 Continue 按钮继续:
- 填写 Description 和 Identifier,然后点击 Continue 按钮,在打开的确认页面点击 Register 按钮创建 Service:
- 找到刚刚创建的 Service,选中 Sign In with Apple,点击 Configure:
- 填写 Domains and Subdomains 和 Return URLs:
- Domains and Subdomains:请填入
core.authing.cn - Return URLs:请填入
https://core.authing.cn/connection/social/{Unique Identifier}/{YOUR_USER_POOL_ID}/callback,并将{Unique Identifier}替换成你正在 GenAuth 创建的身份源所填写的唯一标识,{YOUR_USER_POOL_ID}替换成你的用户池 ID
- 点击 Save,Continue,最后点击 Register,并记录下该 Service ID。
配置 Signing Key
- 回到 Certificates, Identifiers & Profiles 页面,切换到 Keys Tab,点击 ➕ 图标:
- 输入名称并勾选上 Sign in with Apple, 点击 Configure,确保选中的 Primary App ID 是你刚刚创建的那一个:
- 点击 Save, Continue, 最后点击 Register.
- 创建之后,记录下 Key ID,然后点击 Download 下载该密钥:
第二步:在 GenAuth 控制台配置 Apple 应用
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「Apple」卡片。 
2.3 继续点击「Apple Web 端」登录模式,或者点击「… 添加」打开「Apple Web 端」配置页面。 
2.4 在「Apple Web 端」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Services Identifier | Apple Service 的 ID。 |
| Team ID | Apple 开发者团队 ID。 |
| Key ID | Apple Signing Key 的 ID。 |
| Key | Apple Signing Key 的内容。 |
| Scopes | 可以勾选 Name 和 Email Address。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.5 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「Apple」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「Apple」登录
AWS
场景介绍
- 概述:AWS 社会化登录是用户以 AWS 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 AWS 的社会化登录,即可实现通过 GenAuth 快速获取 AWS 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 AWS 账号,请先前往 AWS 控制台上注册成为开发者。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 AWS 创建一个服务器应用
进入 Amazon Cognito 控制台,点击 创建用户池: 
在配置体验登录页面,按照需要勾选 用户登录选项: 
在配置安全要求页面,按需选择登录安全配置,并点击下一步: 
在配置注册体验页面,按需选择注册体验配置,并点击下一步: 
在配置消息发送页面,按需选择消息发送配置,并点击下一步: 
在集成您的应用程序页面,填写用户池名称 
向下滚动,勾选 使用 Cognito 托管 UI,并填写一个自定义的 Cognito 域 
向下滚动,初始化应用程序客户端,选择 机密客户端,并定义应用程序客户端名称;
应用回调地址:填写https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的 {唯一标识} 替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID} 替换成你的 用户池 ID
在审核并创建页面,确认配置并创建用户池:
创建完成后,在用户池页面,获取到 Cognito 域
向下滑动,进入应用程序详情页面,记录下 客户端 ID 和 客户端密钥,下一步需要用到。
第二步:在 GenAuth 控制台配置 AWS 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「AWS」卡片。 
2.3 在「AWS」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 认证域 | 在 AWS 用户池控制台配置的 Cognito 域名。 |
| 客户端 ID | 上一步获取的 AWS 客户端 ID。 |
| 客户端密钥 | 上一步获取的 AWS 客户端密钥。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「AWS」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「AWS」登录
支付宝
场景介绍
- 概述:支付宝社会化登录是用户以支付宝为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启支付宝的社会化登录,即可实现通过 GenAuth 快速获取支付宝基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站、移动端
- 终端用户预览图:
注意事项
- 前往 支付宝开放平台注册一个支付宝开放账号;
- 前往 开发者中心控制台按照指引创建一个网站应用。请确保你的应用获取了 获取会员信息 能力,否则将无法使用支付宝登录;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台注册开发者账号;
第一步:创建支付宝应用
1.1 登录支付宝开放平台,进入控制台,点击我的应用>网页&移动应用的创建应用按钮,创建新应用。
1.2 进入创建后应用的控制台,在能力列表下,添加能力,需要添加「获取会员信息」的能力。
1.3 配置该应用的开发设置,在开发设置下的开发信息,设置接口加签的方式(密钥/方式)。可以根据支付宝提供的 支付宝密钥生成器 或 OpenSSL(第三方工具)生成密钥。详细获取密钥的方式可以参考 支付宝密钥生成说明文档。其中,密钥长度选择 RSA2 ,密钥格式一定要选择 PKCS1。
需要保存好应用私钥和应用公钥,将在支付宝中配置应用公钥,在 GenAuth 控制台的身份源中配置应用私钥。
接口加签的方式(密钥/方式),选择加签名模式「公钥」,输入应用公钥并且保存,然后点击保存设置。
第二步:在 GenAuth 控制台配置支付宝
2.1 请在 GenAuth Console 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth Console 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「支付宝」身份源按钮,进入 「支付宝登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「支付宝」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| APPID | APPID,支付宝应用 ID。 |
| 账号 ID | 账号 ID,支付宝主账号 ID,一般为 2088 开头的数字。 |
| 应用私钥 | 应用私钥,在支付宝应用接口加签设置时生成应用私钥。 |
| 回调地址 | 支付宝有效 OAuth 跳转 URI。需要将此 URL 配置到支付宝应用授权回调地址。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
2.4 最一步在 GenAuth 控制台上创建完支付宝身份源后,需要将回调地址配置到支付宝的开放平台上的应用的授权回调地址上。
第三步:开发接入
- 推荐开发接入方式:使用托管登录页
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的支付宝身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验支付宝第三方登录。
Slack
场景介绍
- 概述:Slack 社会化登录是用户以 Slack 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Slack 的社会化登录,即可实现通过 GenAuth 快速获取 Slack 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 Slack 账号,请先前往 slack.com注册账号
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 Slack API 平台创建一个应用
请按照 Slack API 文档指引创建一个应用,你需要记录下该应用的 App ID、Client ID、Client Secret、Signing Secret,后面需要用到。也可以参考以下流程。
首先,通过 Slack API: Your Apps,点击「Create New App」创建 App。 
如果你之前从未使用过 Slack,你可能需要先创建一个 Workspace:点击「Create Another Workplace」并完成创建。 
拥有 Workspace 之后,返回至 Slack API: Your Apps,并点击「Create New App」继续 App 的创建。若被提示选择创建方式,请选择 From scratch。输入 App Name 并选择 Workspace 之后,点击「Create App」完成创建。 
完成创建后,你会看到关于这个 App 的基本信息(Basic Information)。向下滑动到 App Credentials,这里记录着 App ID、Client ID、Client Secret、Signing Secret,你后续可能会用到它们。 
最后,在侧边栏点击「OAuth & Permissions」,找到页面中的「Redirect URLs」设置区域,点击「Add New Redirect URL」添加如下回调地址:https://core.authing.cn/connection/social/{ YOUR_IDENTITYSOURCE_ID }/{ AUTHING_USERPOOL_ID }/callback,你需要将其中的 { YOUR_IDENTITYSOURCE_ID } 替换为你正在 GenAuth 创建的身份源所填写的唯一标识, { AUTHING_USERPOOL_ID } 替换为你的用户池 ID。添加完成后,点击「Save URLs」保存设置。 
第二步:在 GenAuth 控制台配置 Slack API 应用
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「Slack」卡片。 
2.3 在「Slack」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | 上一步获取的 Slack API 应用 ID。 |
| Client Secret | 上一步获取的 Slack API 应用 Secret。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「Slack」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「Slack」登录
Slack 移动端
场景介绍
概述
Slack 社会化登录是用户以 Slack 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Slack 的社会化登录,即可实现通过 GenAuth 快速获取 Slack 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你还没有 Slack 账号,请先前往 slack.com注册账号
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 Slack API 平台创建一个应用
请按照 Slack API 文档指引创建一个应用,你需要记录下该应用的 App ID、Client ID、Client Secret、Signing Secret,后面需要用到。也可以参考以下流程。
首先,通过 Slack API: Your Apps,点击「Create New App」创建 App。
如果你之前从未使用过 Slack,你可能需要先创建一个 Workspace:点击「Create Another Workplace」并完成创建。
拥有 Workspace 之后,返回至 Slack API: Your Apps,并点击「Create New App」继续 App 的创建。若被提示选择创建方式,请选择 From scratch。输入 App Name 并选择 Workspace 之后,点击「Create App」完成创建。
完成创建后,你会看到关于这个 App 的基本信息(Basic Information)。向下滑动到 App Credentials,这里记录着 App ID、Client ID、Client Secret、Signing Secret,你后续可能会用到它们。
最后,在侧边栏点击「OAuth & Permissions」,找到页面中的「Redirect URLs」设置区域,点击「Add New Redirect URL」添加如下回调地址:https://core.authing.cn/connection/social/{ YOUR_IDENTITYSOURCE_ID }/{ AUTHING_USERPOOL_ID }/callback,你需要将其中的 { YOUR_IDENTITYSOURCE_ID } 替换为你正在 GenAuth 创建的身份源所填写的唯一标识, { AUTHING_USERPOOL_ID } 替换为你的用户池 ID。添加完成后,点击「Save URLs」保存设置。
第二步:在 GenAuth 控制台配置 Slack 移动端
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「Slack」卡片,进入 「Slack 移动端登录模式」页面。 
2.3 在「Slack 移动端」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | 上一步获取的 Slack Client ID。 |
| Client Secret | 上一步获取的 Slack Client Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「Slack 移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Slack 第三方登录(如 终端用户预览图 所示)。
Gitee
场景介绍
- 概述:Gitee 社会化登录是用户以 Gitee 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Gitee 的社会化登录,即可实现通过 GenAuth 快速获取 Gitee 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有 Gitee 账号,请先前往 gitee.com注册账号
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 Gitee 创建一个 OAuth 应用
进入 Gitee 的应用管理页面,点击「创建应用」: 
在创建应用页面,配置以下信息:
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
最后点击「创建应用」,创建完成之后,你需要记录下Client ID和Client Secret,下一步需要用到。 
第二步:在 GenAuth 控制台配置 Gitee 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「Gitee」卡片。 
2.3 在「Gitee」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | 上一步获取的 Gitee 应用 ID。 |
| Client Secret | 上一步获取的 Gitee 应用 Secret。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| Scopes | 默认情况下,GenAuth 只会向用户申请基础用户信息(如头像、昵称等)的授权,如果你需要更多高级权限,可以勾选上对应的选项。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「Gitee」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「Gitee」登录
Gitee 移动端
场景介绍
概述
Gitee 社会化登录是用户以 Gitee 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Gitee 的社会化登录,即可实现通过 GenAuth 快速获取 Gitee 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图:
注意事项
- 如果你还没有 Gitee 账号,请先前往 gitee.com 注册账号
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 Gitee 创建一个 OAuth 应用
进入 Gitee 的应用管理页面,点击「创建应用」: 
在创建应用页面,配置以下信息:
- 应用回调地址:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
最后点击「创建应用」,创建完成之后,你需要记录下Client ID和Client Secret,下一步需要用到。 
第二步:在 GenAuth 控制台配置 Gitee 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 在「选择社会化身份源」页面,点击「Gitee」-「Gitee 移动端」卡片。 
2.3 在「Gitee 移动端」配置页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | 上一步获取的 Gitee 应用 ID。 |
| Client Secret | 上一步获取的 Gitee 应用 Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:SDK
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「Gitee 移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Gitee 第三方登录(如 终端用户预览图 所示)。
GitLab
场景介绍
概述
GitLab 社会化登录是用户以 GitLab 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 GitLab 的社会化登录,即可实现通过 GenAuth 快速获取 GitLab 基本开放的信息和帮助用户实现免密登录功能。
应用场景
PC 网站
终端用户预览图
准备工作
- 如果你还没有 GitLab 账号,请先前往 GitLab.com 注册账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
配置步骤
第一步:在 GenAuth 控制台配置 GitLab 的唯一标识
- 在 GenAuth 控制台的 身份源管理->社会化身份源,点击 创建社会化身份源 按钮,进入 选择社会化身份源 页面。
- 点击「GitLab」卡片。
- 在 GitLab 配置页面设置唯一标识。
- 记录下根据唯一标识自动生成的 回调地址,之后要用到。先将此页面搁置,之后再来配置其他信息。
第二步:在 GitLab(或者你的 GitLab 实例)上创建一个应用
- 点击右上角个人头像然后点击 Edit Profile。
- 点击左侧导航栏中 Applications。
- 配置应用名称。
- 配置 Redirect URI ,将刚才记录的回调地址填写上去。
- 添加 Scopes:勾选
api和read_user。
点击 Save Application。
创建完成之后,记录下 Application ID 和 Secret,下一步需要用到。
第三步:在控制台将 Gitlab 其他信息配置完成
- 填写刚才记录的 Application ID 和 Secret。
- 选择修改其他信息。如不修改,则使用默认选项(本步可选)。
| 字段 | 描述 |
|---|---|
| 唯一标识 | * 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。* 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Base URL | 默认情况下会使用 GitLab.com 作为认证端点,你也可以指定任意私有的 GitLab 实例,如 https://gitlab.example.com/。 |
| Application ID | 上一步获取的 GitLab 应用 ID。 |
| Secret | 上一步获取的 GitLab 应用密钥。 |
| 登录模式 | 开启 仅登录模式 后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启 账号身份关联 时,用户通过身份源登录时默认创建新用户;开启 账号身份关联 后,可以允许用户通过 字段匹配 或 询问绑定 的方式直接登录到已有的账号。 |
- 配置完成后,点击 创建 或者 保存 按钮完成创建。
第四步:开发接入
推荐开发接入方式
使用托管登录页。
优劣势描述
运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名。如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击 登录 按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法
在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
在已经创建好的「GitLab」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
- 点击 GenAuth 控制台的应用 体验登录 按钮,在弹出的登录窗口体验 GitLab 登录。
GitLab 移动端
场景介绍
概述
GitLab 社会化登录是用户以 GitLab 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 GitLab 的社会化登录,即可实现通过 GenAuth 快速获取 GitLab 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你还没有 GitLab 账号,请先前往 GitLab.com 注册账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 GitLab(或者你的 GitLab 实例)上创建一个应用
点击右上角个人头像然后点击 Edit Profile。
点击左侧导航栏中 Applications。
创建应用,编辑应用信息 Name,Redirect URI,添加 Scopes:勾选
api、read_user。
点击 Save Application。
创建完成之后,记录下 Application ID 和 Secret,下一步需要用到。
创建应用过程中,需要配置允许的回调地址,请使用以下设置:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置 GitLab 移动端
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」,点击 「GitLab」身份源卡片,进入 「GitLab 移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「GitLab 移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Base URL | 默认情况下会使用 GitLab.com 作为认证端点,你也可以指定任意私有的 GitLab 实例,如 https://gitlab.example.com/。 |
| Application ID | 上一步获取的 GitLab 应用 ID。 |
| Secret | 上一步获取的 GitLab 应用密钥。 |
| 回调地址 | GitLab 有效跳转 URI。需要将此 URL 配置到 GitLab 应用的 Redirect URI 上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完「GitLab 移动端」身份源后,需要将回调地址配置到 GitLab 上的 Callback URL。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 GitLab 移动端身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 GitLab 第三方登录(如 终端用户预览图 所示)。
百度
场景介绍
- 概述:百度社会化登录是用户以百度为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启百度的社会化登录,即可实现通过 GenAuth 快速获取百度基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 端
- 终端用户预览图:
注意事项
- 如果你未注册百度开发者账号,请先前往 百度开发者中心 注册开发者账号。
- 百度开发者中心-用户中心
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在百度开放平台创建一个网站应用
- 注册百度开发者中心,登录后前往百度开发者服务管理控制台,填写开发者信息,并创建一个工程(应用):
- 创建完成后,你需要记录下该应用的 API Key(即 Client ID) 和 Secret Key(即 Client Secret),后面需要用到。
在安全设置页面,设置授权回调页地址为:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置百度
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「百度」身份源按钮,进入 「百度登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「百度」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| API Key | 百度应用 ID,需要在百度开发者中心上获取。 |
| Secret Key | 百度应用密钥,需要在百度开发者中心上获取。 |
| 回调地址 | 百度开发者中心有效跳转 URI。需要将此 URL 配置到百度开发者中心上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完百度身份源后,需要将回调地址配置到 百度上的授权回调页。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的百度身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验百度第三方登录
百度移动端
场景介绍
概述
百度社会化登录是用户以百度为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启百度的社会化登录,即可实现通过 GenAuth 快速获取百度基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未注册百度开发者账号,请先前往 百度开发者中心 注册开发者账号。
- 百度开发者中心-用户中心
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在百度开放平台创建一个移动应用
- 注册百度开发者中心,登录后前往百度开发者服务管理控制台,填写开发者信息,并创建一个工程(应用):
- 创建完成后,你需要记录下该应用的 API Key(即 Client ID) 和 Secret Key(即 Client Secret),后面需要用到。
在安全设置页面,设置授权回调页地址为:https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的 <Unique Identifier> 替换成你的唯一标识,<USERPOOL_ID> 替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置百度
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「百度」身份源按钮,进入 「百度登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「百度移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| API Key | 百度应用 ID,需要在百度开发者中心上获取。 |
| Secret Key | 百度应用密钥,需要在百度开发者中心上获取。 |
| 是否需要获取 unionid | 开启后,可以获取百度用户统一标识,对当前开发者帐号唯一。 |
| 回调地址 | 百度开发者中心有效跳转 URI。需要将此 URL 配置到百度开发者中心上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完百度身份源后,需要将回调地址配置到 百度上的授权回调页。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的百度身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验百度第三方登录。(如 终端用户预览图 所示)。
网易易盾(一键登录)
场景介绍
- 概述:手机号一键登录是由三大运营商提供的一种极为便捷的认证方式。当前 GenAuth 支持通过网易易盾接入该能力,网易易盾集成了三大运营商一键登录 SDK,提供了统一的移动端应用接口。你可以在 GenAuth 控制台上配置易盾身份源,即可在手机端上实现通过 GenAuth 快速完成免密登录功能。
- 应用场景:移动端
- 终端用户预览图:
注意事项
- 前往 网易易盾 注册一个开放账号。
- 前往 易盾服务管理后台 按照指引创建一个网站应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:创建应用
登录易盾服务管理后台,创建业务;再登录应用管理后台,创建应用;最后进行业务绑定。具体详细的易盾操作可以查看易盾号码认证控制台使用指南。
创建完应用,设置包名,上传签名等操作完成后,需要记录下业务 ID (business Id) 和号码认证服务接入凭证的产品密钥 SecretId、SecretKey。后续在 GenAuth 控制台配置易盾身份源时需要该数据。
第二步:在 GenAuth 控制台配置易盾
2.1 请在 GenAuth Console 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth Console 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「易盾」身份源按钮,进入 「易盾登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「易盾」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 业务 ID | 业务 ID,易盾上创建的业务 ID(bussinessId)。 |
| SecretId | SecretId,号码认证服务接入凭证的产品密钥 SecretId。 |
| SecretKey | SecretKey,号码认证服务接入凭证的产品密钥 SecretKey。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:SDK 集成
- 优劣势描述:接入简单,只需要几行代码。可自定义程度最高。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的易盾身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 参考 GenAuth 提供的集成指导,完成集成工作,然后在移动端上体验手机号一键登录。
青云 QingCloud
场景介绍
- 概述:青云 QingCloud 是一家技术领先的企业级全栈云 ICT 服务商和解决方案提供商。 QingCloud 社会化登录是用户以 QingCloud 为身份源安全登录到第三方应用或者网站。在 GenAuth 中配置并开启 QingCloud 的社会化登录,即可实现通过 GenAuth 快速获取 QingCloud 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 QingCloud 账号,请先前往 QingCloud 平台注册一个账号。
- 需在 QingCloud 上的应用开发中创建一个可支持协议认证应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号。
第一步:创建 QingCloud 应用
前往 QingCloud 的 AppCenter 应用开发平台 。如果找不到,可以按照 QingCloud 文档 (opens new window)指引创建一个应用,你需要记录下该应用的 App ID 和 App Secret,后面需要用到。
进入控制台,点击右上角的头像,点击应用开发,在应用开发下点击这「这里」进入应用列表。
在应用列表内点击「+」 号即可进行创建应用。选择应用类型,填入应用名称,点击「创建应用」。
记录下 QingCloud 应用的 密钥 ID (即应用 ID)和 密钥。
步骤 2: 在 GenAuth 控制台配置 QingCloud
2.1 请在 GenAuth 控制台中,进入「社会化身份源」配置页面,点击「创建社会化身份源」开始选择与创建。
2.2 在所有社交身份源图标中,找到并进入 QingCloud 社会化登录。
2.3 请在 GenAuth Console 控制台 的「社会化身份源」-「QingCloud」页面,配置相关的字段信息。
App ID: QingCloud 密钥 ID;App Secret: QingCloud 密钥;
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 密钥 ID | 密钥 ID,需要在 QingCloud 开放平台所创建的应用中获取。 |
| 密钥 | 密钥,需要在 QingCloud 开放平台所创建的应用中获取。 |
| 回调地址 | QingCloud 有效 OAuth 跳转 URI。需要将此 URL 配置到 QingCloud 开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.4 配置完成后,点击「创建」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 QingCloud 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 QingCloud 第三方登录
Instagram
场景介绍
- 概述:Instagram 社会化登录是用户以 Instagram 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 Instagram 的社会化登录,即可实现通过 GenAuth 快速获取 Instagram 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 Instagram 开放平台账号,请先前往 Instagram 开放平台 注册开发者账号。因 Instagram 是属于 facebook 的,所以此处所说的 Instagram 开放平台就是 Facebook 的开放平台;
- 开通一个包含多媒体素材的 Instagram 账户;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建 Facebook 应用
前往 developers.facebook.com,点击我的应用,然后创建新应用并选择消费者或无应用类型,填写应用名称。
在控制面板中,找到 Instagram Basic Display 产品,然后点击设置,将其添加至你的应用。
滚动到页面底部,然后点击创建新应用。
第二步:在 GenAuth 控制台配置 Instagram
2.1 请在 GenAuth Console 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth Console 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「Instagram」身份源按钮,进入 「Instagram 登录模式」页面。
2.3 请在 GenAuth Console 控制台 的「社会化身份源」-「Instagram」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 应用编号 | 应用编号,需要在 Instagram 开放平台上获取。 |
| 应用密钥 | 应用编号,需要在 Instagram 开放平台上获取 |
| 回调地址 | Instagram 有效 OAuth 跳转 URI。需要将此 URL 配置到 Instagram 开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 Instagram 身份源后,需要将回调地址配置到 Instagram 的开放平台上的 Instagram 应用中OAuth 客户端授权设置。
最后一步,Instagram 需要获得访问 instagram_graph_user_profile 的权限,所以需要增加此权限。然后点击并保存更改,即创建 instagram 应用成功。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Instagram 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Instagram 第三方登录
LinkedIn
场景介绍
- 概述:LinkedIn 社会化登录是用户以 LinkedIn 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 LinkedIn 的社会化登录,即可实现通过 GenAuth 快速获取 LinkedIn 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 请按照 Microsoft 文档指引创建一个应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 LinkedIn 创建应用
- 在 LinkedIn Developers 上,点击 Create app 开始创建你的应用。
- 输入你的应用的相关信息,点击 Create app 完成创建。
- 完成创建后,查看 Settings,Auth,Products 等标签下的应用信息,并通过编辑 Authorized redirect URLs for your app 来设置回调地址。回调地址设置为:https://core.authing.cn/connection/social//{YOUR_USERPOOL_ID}/callback。
- 如下图所示,在此页面的 Products 标签下,你会看到此 App 可用的所有产品。点击 Sign In with LinkedIn 右边的 Select 按钮以选择此功能,并按照后续的提示完成操作。通常情况下,LinkedIn 会在若干分钟后批准你的 App 使用 Sign In with LinkedIn 功能。
- 回调地址请使用以下设置:https://core.authing.cn/connection/social//{YOUR_USERPOOL_ID}/callback
将其中的 { 唯一标识 } 替换为你正在 GenAuth 创建的身份源所填写的唯一标识, {YOUR_USERPOOL_ID} 替换为你的用户池 ID
第二步:在 GenAuth 控制台配置 LinkedIn
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「LinkedIn」身份源按钮,进入 「LinkedIn 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「LinkedIn」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | LinkedIn 应用 ID,需要在 linkedIn developers 上获取。 |
| Client secrets | LinkedIn 应用密钥,需要在 linkedIn developers 上获取。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| 回调地址 | LinkedIn 有效跳转 URI。需要将此 URL 配置到 linkedIn developers 上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 LinkedIn 身份源后,需要将回调地址配置到 linkedIn developers 上的 Authorized redirect URLs for your app。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 LinkedIn 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 LinkedIn 第三方登录
LinkedIn 移动端
场景介绍
概述
LinkedIn 社会化登录是用户以 LinkedIn 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 LinkedIn 的社会化登录,即可实现通过 GenAuth 快速获取 LinkedIn 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 请按照 Microsoft 文档指引或通过 LinkedIn 开发者平台 创建一个应用。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 LinkedIn 创建应用
- 在 LinkedIn Developers 上,点击 Create app 开始创建你的应用。
- 输入你的应用的相关信息,点击 Create app 完成创建。
- 完成创建后,查看 Settings,Auth,Products 等标签下的应用信息,并通过编辑 Authorized redirect URLs for your app 来设置回调地址。回调地址设置为:https://core.authing.cn/connection/social//{YOUR_USERPOOL_ID}/callback。
- 如下图所示,在此页面的 Products 标签下,你会看到此 App 可用的所有产品。点击 Sign In with LinkedIn 右边的 Select 按钮以选择此功能,并按照后续的提示完成操作。通常情况下,LinkedIn 会在若干分钟后批准你的 App 使用 Sign In with LinkedIn 功能。
- 回调地址请使用以下设置:
https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的<Unique Identifier>替换成你的唯一标识,<USERPOOL_ID>替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置 LinkedIn
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「LinkedIn」身份源按钮,进入 「LinkedIn 登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「LinkedIn」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | LinkedIn 应用 ID,需要在 LinkedIn developers 上获取。 |
| Client secrets | LinkedIn 应用密钥,需要在 LinkedIn developers 上获取。 |
| 回调地址 | LinkedIn 有效跳转 URI。需要将此 URL 配置到 LinkedIn developers 上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。支持「邮箱」字段匹配,获取用户邮箱需要申请 r_emailaddress 的权限。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 LinkedIn 身份源后,需要将回调地址配置到 LinkedIn developers 上的 Authorized redirect URLs for your app。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 LinkedIn 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 LinkedIn 第三方登录(如 终端用户预览图 所示)。
LINE 移动端
场景介绍
概述
LINE 社会化登录是用户以 LINE 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 LINE 的社会化登录,即可实现通过 GenAuth 快速获取 LINE 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通 LINE Developers 账号,请先前往 LINE Developers 注册开发者账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 LINE Developers 创建一个 Mobile LINE Login Channel
前往 LINE Developers,创建一个 Channel。
1.1 创建 Provider.
1.2 完成创建 LINE Login Channel, 填写 Channel 信息,App types 勾选 Mobile APP, 记录 Channel ID 和 Channel secret.
1.3 切换到「LINE Login」TAB 项,完成填写 iOS/Android APP 信息。
第二步:在 GenAuth 控制台配置 LINE 移动端
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「LINE」身份源按钮,进入「LINE 移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「LINE 移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Channel ID | 上一步 LINE Developers - LINE Login Channel 的 Channel ID. |
| Channel secret | 上一步 LINE Developers - LINE Login Channel 的 Channel secret. |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「LINE 移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 LINE 第三方登录(如 终端用户预览图 所示)。
亚马逊
场景介绍
- 概述:亚马逊 社会化登录是用户以 亚马逊 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 亚马逊 的社会化登录,即可实现通过 GenAuth 快速获取 亚马逊 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 亚马逊 开放平台 账号,请先前往 亚马逊开放平台 注册开发者账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 亚马逊 开放平台 创建一个安全配置文件
1.1 前往 亚马逊开放平台 创建安全配置文件。
点击页面上方的「Developer Console」->「Login With Amazon」创建安全配置文件。过程中如遇到任何问题,请参考页面上方的亚马逊官方文档资料 Login with Amazon。
1.2 配置 Web 设置,记录 Client ID 和 Client Secret,下一步需要用到 
- 允许的源: 填写
https://core.authing.cn - 允许返回的 URL:填写
https://core.authing.cn/connection/social/{唯一标识}/{用户池ID}/callback,你需要将其中的{唯一标识}替换为你正在 GenAuth 创建的身份源所填写的唯一标识,{用户池ID}替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置 亚马逊
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「亚马逊」身份源按钮,进入「亚马逊登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「亚马逊」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 客户端 ID | 亚马逊「安全配置文件」-「Web 设置」 的 客户端 ID,需要在 亚马逊 开放平台 上获取。 |
| 客户端密钥 | 亚马逊「安全配置文件」-「Web 设置」 的 客户端密钥,需要在 亚马逊 开放平台 上获取。 |
| 回调地址 | Github 有效跳转 URI。需要将此 URL 配置到 亚马逊 Web Settings 下的 Allowed Return URLs 上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完亚马逊身份源后,需要将回调地址配置到亚马逊开放平台上的 Web Settings 信息里面的 Allowed Return URLs。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「亚马逊」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 点击 GenAuth 控制台的应用「体验登录」按钮,在弹出的登录窗口体验「亚马逊」登录
亚马逊移动端
场景介绍
概述
亚马逊 社会化登录是用户以 亚马逊 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 亚马逊 的社会化登录,即可实现通过 GenAuth 快速获取 亚马逊 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通 亚马逊 开放平台 账号,请先前往 亚马逊开放平台 注册开发者账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 亚马逊 开放平台 创建一个安全配置文件
1.1 前往 亚马逊开放平台 创建安全配置文件。
点击页面上方的「Developer Console」->「Login With Amazon」创建安全配置文件。过程中如遇到任何问题,请参考页面上方的亚马逊官方文档资料 Login with Amazon。
1.2 记录 Security Profile ID, 并分别配置 Android 和 iOS 设置
1.2.1 配置 Android
填写信息,生成 API Key 并记录下生成的 API Key
1.2.2 配置 iOS
填写信息,生成 API Key 并记录下生成的 API Key
第二步:在 GenAuth 控制台配置 亚马逊移动端
2.1 请在 GenAuth 控制台 的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「亚马逊」身份源按钮,进入「亚马逊移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「亚马逊移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 安全配置文件 ID | 亚马逊的「安全配置文件 ID」,需要在 亚马逊 开放平台 上获取。 |
| API 密钥 (安卓) | 亚马逊的「安全配置文件」 - 「Android 设置」的 API Key,需要在 亚马逊 开放平台 上获取。 |
| API 密钥 (iOS) | 亚马逊的「安全配置文件」 - 「iOS 设置」的 API Key,需要在 亚马逊 开放平台 上获取。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「亚马逊移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 亚马逊 第三方登录(如 终端用户预览图 所示)。
OPPO 移动端
场景介绍
概述
OPPO 社会化登录是用户以 OPPO 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 OPPO 的社会化登录,即可实现通过 GenAuth 快速获取 OPPO 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你还没有 OPPO 账号,请先前往 OPPO 开放平台上注册成为开发者。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号
第一步:在 OPPO 创建一个应用
登录OPPO 开放平台,点击 管理中心: 
在管理中心页面,点击帐号服务: 
在帐号服务页面,点击创建新应用 并选择 创建应用: 
在创建新应用页面,填写应用信息,并点击提交: 
为刚创建的应用接入「帐号服务」,激活账号并开通能力:
创建完成之后,查看应用详情,记录下 AppID, AppKey 和 AppSecret,下一步需要用到。 
第二步:在 GenAuth 控制台配置 OPPO 应用配置
2.1 请在 GenAuth 控制台的「社会化身份源」页面,点击「创建社会化身份源」按钮,进入「选择社会化身份源」页面。
2.2 请在 GenAuth 控制台 的「社会化身份源」-「选择社会化身份源」页面,点击「OPPO」身份源按钮,进入 「OPPO 移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「社会化身份源」-「OPPO 移动端」页面,配置相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| AppID | 上一步获取的 OPPO 应用 ID。 |
| AppKey | 上一步获取的 OPPO 应用 Key。 |
| AppSecret | 上一步获取的 OPPO 应用 Secret。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
- 推荐开发接入方式:SDK
- 优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
- 详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的「OPPO 移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 OPPO 第三方登录(如 终端用户预览图 所示)。
企业身份源
企业身份源登录,是指用户使用企业的身份认证信息在公司内部应用或第三方应用进行认证登录的流程。在 GenAuth 控制台中,企业身份源包含两类:办公应用(比如飞书、企业微信、钉钉)与标准协议应用(比如 OIDC、SAML、CAS 等标准协议),你可以通过配置企业身份源连接,实现使用第三方身份源登录 GenAuth 应用 及从第三方身份源导入组织机构和用户。
企业身份源登录列表
以下是目前平台支持的企业登录完整列表及相关使用文档:
| 企业登录方式 | 使用场景 | 使用文档 |
|---|---|---|
| 企业微信自建应用扫码 | PC 网站/企业微信浏览器 | |
| 企业微信自建应用扫码(代开发模式) | PC 网站 | |
| 企业微信服务商应用扫码 | PC 网站 | |
| 企业微信移动端 | 移动 APP | |
| 钉钉 H5 微应用(企业内部开发) | PC 网站 | |
| 钉钉移动端 | 移动 APP | |
| 飞书企业自建应用 | PC 网站/飞书浏览器/移动端/移动端 | |
| 飞书应用商店应用 | PC 网站/飞书浏览器/移动端/移动端 | |
| Windows Active Directory | PC 网站 | |
| Azure Active Directory | PC 网站 | |
| OIDC | PC 网站 | |
| OAuth 2.0 | PC 网站 | |
| LDAP | PC 网站 | |
| SAML | PC 网站 | |
| CAS | PC 网站 | |
| Welink | PC 网站 |
企业登录关联方式
使用「身份源连接的账号关联」功能,让你的用户在使用你所配置的企业身份源登录时,能够直接登录到已有账号。
当 未开启「账号身份关联」 时,用户首次通过身份源登录时默认在用户池中创建新用户。开启 「账号身份关联」 后,你可以对用户的“身份源账号关联方式”进行选择,可以允许用户通过「字段匹配」或「询问绑定」的方式直接绑定且登录到已有的账号。
以下是目前平台支持的企业身份源支持关联账号的方式:
| 社会化登录方式 | 使用场景 | 询问绑定 | 绑定方式 | 字段匹配 | 匹配规则 |
|---|---|---|---|---|---|
| 企微自建应用扫码 | PC 网站 | -- | -- | ✅ | 手机、邮箱 |
| 企微自建应用扫码(代开发) | PC 网站 | -- | -- | ✅ | 手机、邮箱 |
| 企微服务商扫码 | PC 网站 | -- | -- | -- | -- |
| 企微移动端 | 移动 APP | -- | -- | ✅ | 手机、邮箱 |
| 企微自建应用扫码 | 企业微信浏览器 | -- | -- | ✅ | 手机、邮箱 |
| 钉钉 H5 微应用(企业内部开发) | PC 网站 | -- | -- | ✅ | 手机、邮箱 |
| 飞书企业自建应用 | PC 网站/飞书浏览器/移动端 | -- | -- | ✅ | 手机、邮箱 |
| 飞书企业自建应用 | 移动 APP | -- | -- | ✅ | 手机、邮箱 |
| 飞书应用商店应用 | PC 网站/飞书浏览器/移动端 | -- | -- | ✅ | 手机、邮箱 |
| 飞书应用商店应用 | 移动 APP | -- | -- | ✅ | 手机、邮箱 |
| Windows Active Directory | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| Azure Active Directory | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| OIDC | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| OAuth 2.0 | PC 网站 | -- | -- | ✅ | 手机号、邮箱、用户名 |
| LDAP | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| SAML | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| CAS | PC 网站 | -- | -- | ✅ | 手机号、邮箱 |
| Welink | PC 网站 | -- | -- | ✅ | 邮箱 |
| 致远 OA | PC 网站 | -- | -- | ✅ | 用户名 |
企业微信自建应用扫码
场景介绍
- 概述:企业微信自建应用扫码适用于在网页中通过扫码企业微信让用户进行登录的免登录场景。为企业实现以企业微信为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 企业微信自建应用扫码 的企业登录,即可实现通过 GenAuth 快速获取 企业微信 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 企业微信管理员 账号,请先前往 企业微信管理员后台 进行注册;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建企业微信自建应用
前往 企业微信管理员后台,
在应用管理 - 应用 页面,创建一个自建应用:
在应用详情页,点击设置企业微信授权登录:
设置授权回调域为 core.authing.cn 。 
创建完成后,进入应用详情页,设置网页授权及 JS-SDK 域名,域名地址填写 core.authing.cn
第二步:在 GenAuth 控制台配置 企业微信自建应用扫码
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「企业微信」身份源按钮
2.2 选择 「企业微信自建应用扫码」。
2.3 请在「企业微信自建应用扫码」页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 企业 ID | 在企业微信应用的后台, 在我的企业 - 企业信息页面,可以获取企业 ID。 |
| AgentID | 在企业微信应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| Secret | 在企业微信应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| Callback URL | 如果你想直接跳转到社会化身份源进行认证,中间不出现任何 GenAuth 的页面,你可以配置这个参数作为认证成功后的业务回调地址,GenAuth 会将用户的 ID Token 发送到这个 URL。比如你的网站域名是 https://example.com,处理 GenAuth 回调请求的 url 为 /auth/callback,那么你应该填写为 https://example.com/auth/callback。**这个参数和应用配置里的回调链接没有任何关联**。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
在我的企业 - 企业信息页面,可以获取企业 ID。
在应用详情页,可以获取该应用的 AgentId 和 Secret:
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 企业微信内部应用扫码登录(代开发模式) 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 企业微信内部应用扫码登录(代开发模式) 第三方登录
企业微信自建应用扫码(代开发模式)
场景介绍
概述
企业微信自建应用扫码(代开发模式)是通过服务商提供代开发应用,第三方企业扫码授权的形式,为第三方企业实现以企业微信为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启企业微信自建应用扫码(代开发模式)的企业登录,即可实现通过 GenAuth 快速获取企业微信基本开放的信息,帮助用户实现免密登录功能。
应用场景
PC 网站
终端用户预览图
准备工作
如果你未开通企业微信服务商账号,请先前往 企业微信服务商官网 点击成为 企业微信服务商。
开发过程中,还需要一个企业微信的企业管理员账号,对代开发应用模板进行授权操作,你可以在 企业微信权限管理页面 修改管理员权限。
如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号。
配置步骤
第一步:创建代开发应用
在 企业微信服务商后台 点击左侧导航栏 应用代开发 菜单。在右侧打开 应用代开发 页面。
点击 创建代开发应用模板 按钮。打开 创建代开发应用模板 窗口。
- 配置模板 Logo、模板名称等基础信息,点击 下一步,配置开发信息。
- 在 配置开发信息 标签页点击 随机获取 生成 Token 和 EncodingAESKey。
INFO
代开发模板回调 URL 需要在 GenAuth 控制台创建应用后才能生成,并通过微信服务器校验。因此先保留页面,打开 GenAuth 控制台。
第二步:在 GenAuth 控制台配置企业微信自建应用扫码(代开发模式)
- 选择 GenAuth 身份源管理->企业身份源,在 企业身份源 页面点击 创建企业身份源 按钮,进入 选择企业身份源 页面,点击 企业微信 身份源。
- 选择 企业微信自建应用扫码(代开发模式)。
- 在 企业微信自建应用扫码(代开发模式) 页面填写企业微信服务商后台 配置开发信息页面 获取的 Token 和 EncodingAESKey。
点击 保存。GenAuth 控制台会自动跳转到身份源详情页。
复制页面下方的 事件地址 所展示的 URL。
INFO
由于企业微信需要进行回调验证,必须保存后再进行后续操作,否则微信回调验证无法通过。
- 将在 GenAuth 控制台获取到的 事件地址 的 URL 填写到企业微信服务商后台 配置开发信息 中的 代开发模板回调 URL 中,然后点击 保存。
第三步:上线企业微信代开发应用模板
- 在企业微信服务商后台选择 应用管理->代开发应用上线,点击 提交上线 按钮。
- 选择并提交刚创建的代开发模板。企业微信会对代开发模板进行审核。
- 审核通过后,在代开发应用/模板列表点击该模板,进入 代开发模板审核详情 窗口,点击 提交上线。则该模板的状态从 待上线 变成 已上线。
- 在企业微信服务商后台选择 应用代开发,选择需要被授权的代开发应用模板。
- 点击 查看模板信息。
- 分别将 模板ID 和 模板Secret 填写到 GenAuth 控制台的身份源信息中。
- 在企业微信服务商后台水平导航栏选择 服务商信息->基本信息,在 IP 白名单 字段添加 GenAuth 的服务器 IP 地址。
INFO
可点击 GenAuth 服务器 IP 列表 获取。
第四步:企业授权代开发模板并开发代开发应用
在企业微信服务商后台选择 应用代开发, 在右侧代开发应用模板列表点击刚才创建的应用代开发模板。
企业管理员扫描授权二维码.
刷新页面。在页面下出现代开发应用。
点击 开始代开发应用。
- 确认基础信息后,配置开发信息,在 可信域名 中填写
core.authing.cn,点击 完成 按钮保存配置。
第五步:配置并上线代开发应用
- 点击完成后,回到代开发应用模板详情页面,点击 查看。
- 在 使用配置 模块点击 编辑 按钮。
- 点击 校验可信域名归属。
- 在弹出窗口选择 下载文件。
- 将文件名和内容分别填入 GenAuth 控制台 企业微信自建应用扫码(代开发模式) 的 Txt Filename 和 Txt Content 字段中,点击 保存。
在企业微信服务商后台点击 使用配置 上 保存 按钮。
在 自定义菜单 模块点击 设置 按钮,在弹出 自定义菜单 窗口点击添加主菜单:a. 输入 主菜单 名。b. 菜单内容 默认选择 跳转到网页。c. 下方输入用户企业微信登录应用网址,点击 保存。右侧实时显示配置效果。
- 返回 代开发应用详情 页,在 企业微信授权登录 模块配置各类客户端企业微信授权。a. 点击 设置 按钮打开 企业微信授权登录 窗口。
b. 点击 Web 网页下 设置授权回调域,填写 core.authing.cn,点击 保存。
- 配置完成后返回 代开发应用上线 页面点击 提交上线,提交应用并审核。
INFO
应用做任何配置修改后,都需要重新上线,才能使修改生效。
审核通过后,代开发应用状态变更为 待上线。
- 点击进入待上线的应用详情页,点击右上角 提交上线 按钮。
- 点击顶部导航栏 企业管理后台,在授权企业的企业管理后台(注意:不是服务商管理后台)选择 我的企业->企业信息,拷贝 企业ID。
- 在 GenAuth 中的 企业ID 填入拷贝的信息。
- 在授权企业的企业管理后台 应用管理->应用 中找到新建的应用,进入应用详情, 拷贝 AgentId 到 GenAuth 控制台 企业微信自建应用扫码(代开发模式) 页面的 AgentId 字段 中。
- 在控制台 Scopes 字段选择 snsapi_privateinfo 选项(用于获取用户手机号)。
- 在企业微信企业管理后台应用详情页点击 编辑 按钮,添加 可见范围。
INFO
只有选择的组织成员可使用 GenAuth 进行登录。
- 点击进入页面下方 授权信息,点击 自定义权限,添加允许的成员敏感信息。
INFO
管理员添加敏感信息权限后, 使用 GenAuth 的字段匹配功能要求用户第一次登录企业微信内应用时,先完成敏感信息的授权。
第六步:开发接入
开发接入方式
使用托管登录页。
优劣势描述
运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名。如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法
在 GenAuth 控制台创建一个应用。详情查看:如何在 GenAuth 创建一个应用。
在已创建好的 企业微信自建应用扫码(代开发模式) 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
- 在登录页面体验企业微信自建应用扫码(代开发模式)第三方登录。
用户操作
要使用企业微信账号登录自建应用,用户初次使用,需要先从企业微信登录应用,完成敏感信息的授权;授权后,GenAuth 自动进行手机号的匹配,从而实现后续的企业微信账号登录。
要完成敏感信息授权,用户需要执行以下步骤:
登录企业微信,访问 工作台。
拉到页面底部,找到并点击待授权的应用。
- 点击页面底部 登录应用 按钮在企业微信内进行登录。
- 在打开的 企业微信授权 页面勾选允许 GenAuth 访问的用户个人敏感信息,点击 同意。
INFO
请务必勾选 你的手机号,否则,企业微信账号与授权应用无法实现关联! 一旦手机号关联失败,后续可通过 PC 端 SSO 面板登录,进入 GenAuth 个人中心 里绑定企业微信。有关详情,请参阅 如何在应用面板配置企业微信与自建应用的绑定。
用户选择敏感信息并同意授权后,即可完成登录;同时,你所勾选的信息将会同步至 GenAuth,图示为用户个人中心获取到的用户信息。 
企业微信自建应用扫码(GenAuth 代理模式)
场景介绍
概述
企业微信自建应用扫码(GenAuth 代理模式)是通过 GenAuth 作为服务商提供代开发应用,第三方企业扫码授权的形式,为第三方企业实现以企业微信为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启企业微信自建应用扫码(GenAuth 代理模式)的企业登录,即可实现通过 GenAuth 快速获取企业微信基本开放的信息,帮助用户实现免密登录功能。
应用场景
PC 网站
终端用户预览图
准备工作
开发过程中,需要一个企业微信的企业管理员账号,对代开发应用模板进行授权操作,你可以在 企业微信权限管理页面 修改管理员权限。
如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号。
配置步骤
第一步:企业授权代开发模板
- 企业管理员通过企业微信应用扫描授权二维码。
联系您的商务经理,提供您的企业名称,进行应用上线。 由于企业微信于 2023 年 6 月 30 起,开启了调用接口收费模式,收费详情请参考:https://open.work.weixin.qq.com/wwopen/common/readDocument/38829;具体付费流程,请咨询 GenAuth 销售顾问。
上线完成后,点击 企业管理后台,在授权企业的企业管理后台选择 我的企业->企业信息,拷贝 企业 ID。
第二步:在 GenAuth 控制台配置企业微信自建应用扫码(GenAuth 代理模式)
- 选择 GenAuth 身份源管理->企业身份源,在 企业身份源 页面点击 创建企业身份源 按钮,进入 选择企业身份源 页面,点击 企业微信 身份源。
- 选择 企业微信自建应用扫码(GenAuth 代理模式)。
- 在 GenAuth 中的 企业 ID 填入拷贝的信息。
- 在授权企业的企业管理后台 应用管理->应用 中找到新建的应用,进入应用详情, 拷贝 AgentId 到 GenAuth 控制台 企业微信自建应用扫码(GenAuth 代理模式) 页面的 AgentId 字段 中。
- 在控制台 Scopes 字段选择 snsapi_privateinfo 选项(用于获取用户手机号)。
- 商务经理通知您完成应用上线后,在企业微信企业管理后台应用详情页点击 编辑 按钮,添加 可见范围。
INFO
只有选择的组织成员可使用 GenAuth 进行登录。
- 点击进入页面下方 授权信息,点击 自定义权限,添加允许的成员敏感信息。
INFO
管理员添加敏感信息权限后, 使用 GenAuth 的字段匹配功能要求用户第一次登录企业微信内应用时,先完成敏感信息的授权。
第三步:开发接入
开发接入方式
使用托管登录页。
优劣势描述
运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名。如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法
在 GenAuth 控制台创建一个应用。详情查看:如何在 GenAuth 创建一个应用。
在已创建好的 企业微信自建应用扫码(GenAuth 代理模式) 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
- 在登录页面体验企业微信自建应用扫码(GenAuth 代理模式)第三方登录。
用户操作
推荐使用询问绑定,解决获取企业微信用户敏感信息限制;
要使用企业微信账号(邮箱手机号绑定)登录自建应用,用户需要在初次使用时从企业微信应用内打开登录 GenAuth 应用,完成敏感信息的授权;授权后,GenAuth 自动进行手机号的匹配,从而实现后续的企业微信账号登录。
要完成敏感信息授权,用户需要执行以下步骤:
登录企业微信,访问 工作台。
拉到页面底部,找到并点击待授权的应用。
- 点击页面底部 登录应用 按钮在企业微信内进行登录。
- 在打开的 企业微信授权 页面勾选允许 GenAuth 访问的用户个人敏感信息,点击 同意。
INFO
请务必勾选 你的手机号,否则,企业微信账号与授权应用无法实现关联! 一旦手机号关联失败,后续可通过 PC 端 SSO 面板登录,进入 GenAuth 个人中心 里绑定企业微信。有关详情,请参阅 如何在应用面板配置企业微信与自建应用的绑定。
用户选择敏感信息并同意授权后,即可完成登录;同时,你所勾选的信息将会同步至 GenAuth,图示为用户个人中心获取到的用户信息。 
企业微信服务商应用扫码
场景介绍
- 概述:企业微信服务商应用扫码通过第三方企业扫码服务商的应用授权,为第三企业实现以企业微信为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 企业微信服务商应用扫码 的企业登录,即可实现通过 GenAuth 快速获取 企业微信 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:任意企业的 PC 网站扫码登录和企业微信工作台免登场景
- 终端用户预览图:
注意事项
- 如果你未开通 企业微信服务商 账号,请先前往 企业微信服务商官网 点击成为企业微信服务商;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:在 GenAuth 控制台配置 企业微信服务商应用扫码
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,选择「企业微信」身份源按钮,点击「企业微信服务商应用扫码」,进入 「企业微信服务商应用扫码 登录模式」页面。
2.3 请在 GenAuth Console 控制台 的「企业身份源」-「企业微信服务商应用扫码」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| CorpID | 企业微信平台上通用开发中的参数 Corp ID |
| ProviderSecret | 企业微信平台上通用开发中的参数 ProviderSecret |
| Callback URL | 这是你的业务回调域名,和自建应用配置的回调链接不是一个概念,也和第三方社会化登录控制台的回调地址配置无关。比如你的网站域名是 https://example.com , 处理 GenAuth 回调请求的 url 为 /auth/callback , 那么你应该填写为 https://example.com/auth/callback。这个参数已经不推荐使用,建议在应用中单独配置回调链接,此处地址可填入 #。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
在企业微信服务商后台,选择应用管理,点击通用开发参数,将 CorpID 和 ProviderSecret 复制到 GenAuth 控制台中
配置完成后,点击「创建」或者「保存」按钮完成创建。
第二步:增加企业微信 IP 白名单
2.1 在企业微信服务商后台,服务商信息页面,选择基本信息,在IP 白名单添加上 GenAuth 的服务器 IP 地址,具体可点击 GenAuth 服务器 IP 列表进行获取
第三步:进行登录授权
企业微信需要对发起登录的地址进行授权校验,下面以通过托管登录页登录的方式,说明如何增加登录授权
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 企业微信服务商应用扫码 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在 应用,自建应用 栏目,点击刚刚开启的应用,进入应用详情,复制认证地址
3.4 把从应用详情中认证地址,填写到 微信服务商后台应用管理,登录授权中的登录授权发起域名,授权完成回调域名填写 core.authing.cn
第四步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 企业微信服务商应用扫码 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 企业微信服务商应用扫码
企业微信移动端
场景介绍
- 概述:企业微信移动端适用于在移动应用中拉起企业微信 APP 让用户进行登录的免登录场景。为企业实现以企业微信为身份源安全登录第三方应用。在 GenAuth 中配置并开启 企业微信移动端 的企业登录,即可实现通过 GenAuth 快速获取 企业微信 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:移动端应用
- 终端用户预览图:
注意事项
- 如果你未开通 企业微信管理 账号,请先前往 企业微信管理后台 进行注册;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建企业微信自建应用
前往 企业微信管理后台,
在应用管理 - 应用 页面,创建一个自建应用:
在应用详情页,点击设置企业微信授权登录:
点击 IOS 或 Android 选项,获取 schema 并填入应用的应用签名和包名 
第二步:在 GenAuth 控制台配置 企业微信移动端
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「企业微信」身份源按钮
2.2 选择 「企业微信移动端」。
2.3 请在「企业微信移动端」页面,填写相关的字段信息。
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 企业 ID | 在企业微信应用的后台, 在 我的企业 - 企业信息页面,可以获取企业 ID。 |
| AgentID | 在企业微信应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| Secret | 在企业微信应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| Schema | 在企业微信应用的后台, 设置企业微信授权登录 中可以看到 Schema 。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
在我的企业 - 企业信息页面,可以获取企业 ID。
在应用详情页,你可以获取该应用的 AgentId 和 Secret:
第三步:开发接入
推荐开发接入方式:SDK
优劣势描述:接入简单,只需要几行代码。可自定义程度最高。
详细接入方法:
3.1 请根据企业微信登录 SDK 接入文档(安卓),接入你的安卓应用;请根据企业微信登录 SDK 接入文档(IOS),接入你的 IOS 应用;
3.2 在 GenAuth 控制台创建一个移动应用,详情查看:如何在 GenAuth 创建一个应用
3.3 在已创建好的「企业微信移动端」身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的移动端应用;
3.4 前往相关联的移动端 APP,体验 APP 登录功能。
企业微信移动端(代开发模式)
场景介绍
- 概述:企业微信移动端(代开发模式)是通过服务商提供代开发应用,第三方企业扫码授权的形式,为第三企业实现以企业微信为身份源安全登录第三方应用。在 GenAuth 中配置并开启 企业微信移动端(代开发模式) 的企业登录,即可实现通过 GenAuth 快速获取 企业微信 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:移动端
- 终端用户预览图:
注意事项
- 如果你未开通 企业微信服务商 账号,请先前往 企业微信服务商官网 点击成为企业微信服务商;
- 开发过程中,还需要一个企业微信的企业管理员账号,对代开发应用模板进行授权操作,你可以在企业微信权限管理页面进行管理员权限的修改;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建代开发应用
前往 企业微信服务商后台,点击应用代开发,选择创建代开发应用模板,填写相应内容。进入配置开发信息页面
在配置开发信息页面,点击随机获取生成 Token 和 EncodingAESKey;代开发模板回调 URL,需要在 GenAuth 控制台创建应用后才能生成,并通过微信服务器校验,因此我们先把页面保留在这里,打开 GenAuth 控制台。
第二步:在 GenAuth 控制台配置 企业微信移动端(代开发模式)
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「企业微信」身份源按钮
2.2 选择 「企业微信移动端(代开发模式)」。
2.3 请在「企业微信移动端(代开发模式)」页面,填写在 企业微信服务商后台配置开发信息页面 获取的 Token 和 EncodingAESKey。
点击保存,GenAuth 控制台会自动跳转到身份源详情页,复制页面下方的事件地址所展示的 URL。注意:由于企业微信需要进行回调验证,必须点击保存后进行后续操作,否则微信回调验证无法通过。
将在 GenAuth 控制台获取到的事件地址的 URL,填写到企业微信服务商后台,配置开发信息中的代开发模板回调 URL 中,然后点击保存
第三步:上线企业微信代开发应用模板
3.1 在企业微信服务商后台,选择应用管理,在代开发应用上线中,点击提交上线按钮,提交刚创建的代开发模板
3.2 企业微信会对代开发模板进行审核,审核通过后,点击模板,进入代开发模板审核详情,选择提交上线
3.3 在企业微信应用开发页面,选择应用代开发,选择需要被授权的代开发应用模板,点击查看模板信息
3.4 分别将模板 ID 和 模板 Secret 填写到 GenAuth 控制台的身份源信息中 
3.5 在企业微信服务商后台,服务商信息页面,选择基本信息,IP 白名单需要添加上 GenAuth 的服务器 IP 地址,具体可点击 GenAuth 服务器 IP 列表进行获取
第四步:企业授权代开发模板并开发代开发应用
4.1 在应用代开发页面,点击刚才创建的应用代开发模板,企业管理员扫描授权二维码.
刷新页面
在页面下出现代开发应用,点击开始代开发应用
确认基础信息后,配置开发信息,在可信域名中填写 core.authing.cn
第五步:配置并上线代开发应用
点击完成后,回到代开发应用模板详情页面,点击查看
编辑使用配置
点击校验可信域名归属
在弹出窗口,选择 下载文件
将文件名和文件的内容填入 GenAuth 的 Txt Filename 和 Txt Content 中,点击保存
点击微信平台上的使用配置上的保存按钮进行保存。
设置企业微信授权登录 
填入相应的移动端开发者信息, iOS 侧需要填写 Bundle ID,Android 需要填写应用签名及应用包名。填写好后点击保存。将 schema (iOS 和 Android schema 是一致的)填写在 authing 的身份源连接配置中
配置完成后在代开发应用提交上线并审核
审核通过后,代开发应用状态变更为待上线
点击进入待上线的应用,提交上线
在授权企业的企业管理后台(注意:不是服务商管理后台),我的企业 查看企业 ID
在 GenAuth 中的 企业 ID 填入企业 ID
在授权企业的企业管理后台(注意:不是服务商管理后台)的自建应用中找到新建的应用,进入应用详情, 将 AgentId 填入 GenAuth 的 AgentId 中
点击编辑按钮,添加可见范围,只有选择的组织成员可使用 GenAuth 进行登录(特别提示:如果你的应用处于 「开发中」状态,那么请返回企业微信服务商管理后台的「代开发应用上线」上线相关的应用!!!)
点击授权信息,选择自定义权限,添加允许的成员敏感信息
第六步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 企业微信移动端(代开发模式) 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 企业微信移动端(代开发模式) 第三方登录
钉钉 H5 微应用(企业内部开发)
场景介绍
- 概述:钉钉 H5 微应用(企业内部开发)企业化登录是用户以 钉钉 H5 微应用(企业内部开发) 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 钉钉 H5 微应用(企业内部开发) 的企业化登录,即可实现通过 GenAuth 快速获取 钉钉 H5 微应用(企业内部开发) 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:创建网站应用
- 终端用户预览图:
注意事项
- 如果你未开通钉钉开放平台账号,请先前往 钉钉开放平台 注册账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在钉钉开放平台开发者控制台创建一个网站应用
- 打开钉钉开放平台,点击企业应用进行快捷创建。
- 创建企业内部应用,并记录下 AppKey,AppSecret。
- 在登录与分享中,填写回调域名为:
https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的<Unique Identifier>替换成你的唯一标识,<USERPOOL_ID>替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置钉钉 H5 微应用(企业内部开发)
2.1 请在 GenAuth 控制台 的「企业化身份源」页面,点击「创建企业化身份源」按钮,进入「选择企业化身份源」页面。
2.2 请在 GenAuth 控制台 的「企业化身份源」-「选择企业化身份源」页面,点击「钉钉」身份源按钮,进入 「钉钉 H5 微应用(企业内部开发)登录模式」页面。
2.3 请在 GenAuth 控制台 的「企业化身份源」-「钉钉 H5 微应用(企业内部开发)」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 企业 ID | CorpId 需要在钉钉开放平台首页可以看到。 |
| AppKey | 钉钉编号,需要在钉钉开放平台上获取。 |
| AppSecret | 钉钉密钥,需要在钉钉开放平台上获取。 |
| Callback URL | 可以填写你的业务回调地址,用户完成登录后,浏览器将会跳转到该地址。 |
| Scopes | 默认情况下,GenAuth 只会向用户申请基础用户信息(如头像、昵称等)的授权,如果你需要更多高级权限,可以勾选上对应的选项。 |
| 回调地址 | 钉钉有效跳转 URI。需要将此 URL 配置到钉钉开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在钉钉开发平台首页可以看到 CorpId。
在 GenAuth 控制台上创建完钉钉身份源后,需要将回调地址配置到钉钉开放平台上的回调域名。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的钉钉 H5 微应用(企业内部开发)身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验钉钉 H5 微应用(企业内部开发)第三方登录
钉钉移动端
场景介绍
概述
钉钉 企业化登录是用户以 钉钉 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 钉钉 的企业化登录,即可实现通过 GenAuth 快速获取 钉钉 基本开放的信息和帮助用户实现免密登录功能。
应用场景
移动端
终端用户预览图
注意事项
- 如果你未开通钉钉开放平台账号,请先前往 钉钉开放平台 注册账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在钉钉开放平台开发者控制台创建一个移动应用
- 打开钉钉开放平台,点击企业应用进行快捷创建。
- 创建企业内部应用,并记录下 AppKey,AppSecret。
- 在登录与分享中,填写回调域名为:
https://core.authing.cn/connection/social/<Unique Identifier>/<USERPOOL_ID>/callback,你需要将其中的<Unique Identifier>替换成你的唯一标识,<USERPOOL_ID>替换成你的 用户池 ID
第二步:在 GenAuth 控制台配置钉钉移动端
2.1 请在 GenAuth 控制台 的「企业化身份源」页面,点击「创建企业化身份源」按钮,进入「选择企业化身份源」页面。
2.2 请在 GenAuth 控制台 的「企业化身份源」-「选择企业化身份源」页面,点击「钉钉移动端」身份源按钮,进入 「钉钉移动端登录模式」页面。
2.3 请在 GenAuth 控制台 的「企业化身份源」-「钉钉移动端」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| AppKey | 钉钉编号,需要在钉钉开放平台上获取。 |
| AppSecret | 钉钉密钥,需要在钉钉开放平台上获取。 |
| 回调地址 | 钉钉有效跳转 URI。需要将此 URL 配置到钉钉开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完钉钉身份源后,需要将回调地址配置到钉钉开放平台上的回调域名。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的钉钉移动端身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 钉钉 第三方登录(如 终端用户预览图 所示)。
飞书应用商店应用
场景介绍
- 概述:飞书应用商店应用适用于 PC 网站扫码、飞书工作台、移动端应用的免登录场景。为企业实现以飞书为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 飞书应用商店应用 的企业登录,即可实现通过 GenAuth 快速获取 飞书 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站、飞书工作台、移动端应用
- 终端用户预览图:
注意事项
- 如果你未开通 飞书开发者 账号,请先前往 飞书开发者后台 进行注册;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建飞书应用商店应用
前往 飞书开发者后台,点击创建应用商店应用,填写相应内容,创建应用。
进入创建的应用,点击应用功能,选择网页,开启启用网页功能。
如果你需要 接入移动应用登录能力,点击应用功能,选择移动应用登录,开启飞书登录功能,在下方的飞书登录配置中,用户登录协议选项 OAuth 2.0,并填写移动端应用的配置。
为了能够正常获取到飞书的用户信息,完成认证流程,需要在权限管理页面,完成权限配置,搜索以下权限,并开启:
以应用身份读取通讯录
获取用户基本信息
通过手机号或邮箱获取用户 ID
获取用户手机号
获取用户邮箱信息
查询用户的企业邮箱
第二步:在 GenAuth 控制台配置 飞书应用商店应用
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「飞书」身份源按钮
2.2 选择 「飞书应用商店应用」。
2.3 请在「飞书应用商店应用」页面,填写相关的字段信息。
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| App ID | 在飞书应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| App Secret | 在飞书应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| Encrypt Key | 飞书开放平台约定密钥的方式进行消息加密。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
App ID 和 App Secret ,填写在飞书应用的后台, 凭证与基础信息 中的 App ID 和 App Secret 。
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
在飞书开发者后台,打开应用管理页面,选择安全设置,将 GenAuth 后台的 回调地址,添加到 重定向 URL 中
第三步:在飞书后台配置事件订阅
在飞书应用详情的事件订阅页面,配置事件订阅;
确定是否启用 Encrypt Key,如果你对消息内容的安全级别要求较高,可以通过与飞书开放平台约定密钥的方式进行消息加密;飞书开放平台推送事件时会使用该密钥对消息内容做对称加密,详情请见 飞书文档 - 订阅事件概述 (opens new window)。如果你不需要开启,可以跳过此步骤;如果需要,请继续阅读下面的步骤。
复制 Encrypt Key,填入 GenAuth 控制台的配置表单:
将请求网址 URL 设置为:
https://core.authing.cn/connection/social//{USERPOOL_ID}/events
你需要将其中的 { 唯一标识 } 替换为你正在 GenAuth 创建的身份源所填写的唯一标识, USERPOOL_ID 替换为你的用户池 ID。
最后点击保存。
第四步:在飞书后台上线飞书应用商店应用
4.1 在飞书开发者后台,选择应用发布,在版本管理与发布中,点击创建版本,将创建好的应用进行发布,
4.2 提交申请后,你的企业管理员会进行审核,审核结果会通过飞书和开发者后台发送给你。详情请见飞书文档 - 开发企业自建应用
第五步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
5.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
5.2 在已创建好的 飞书应用商店应用 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
5.3 在登录页面体验 飞书应用商店应用 第三方登录
飞书企业自建应用
场景介绍
- 概述:飞书企业自建应用适用于自己企业的 PC 网站扫码登录和飞书工作台的免登录场景。为企业实现以飞书为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 飞书企业自建应用 的企业登录,即可实现通过 GenAuth 快速获取 飞书 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站、飞书工作台、移动端应用
- 终端用户预览图:
注意事项
- 如果你未开通 飞书开发者 账号,请先前往 飞书开发者后台 进行注册;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建企业自建应用
前往 飞书开发者后台,点击创建企业自建应用,填写相应内容,创建应用。
进入创建的应用,点击应用功能,选择网页,开启启用网页功能,填写 网页配置。
INFO
其中 网页配置 是可以在飞书应用中心打开的网页地址,比如 GenAuth 的应用面板地址。可以在 自建应用->单点登录 SSO-> 应用管理 页面右上角点击 前往体验 拷贝地址。
点击凭证与基础信息,查看 App ID 和 App Secret ,打开 GenAuth 控制台。
如果你需要 接入移动应用登录能力,点击应用功能,选择移动应用登录,开启飞书登录功能,在下方的飞书登录配置中,用户登录协议选项 OAuth 2.0,并填写移动端应用的配置(有关详细配置,请参阅 飞书开放平台移动应用登录流程-准备工作-补全应用信息)。
为了能够正常获取到飞书的用户信息,完成认证流程,需要在权限管理页面,完成权限配置,搜索以下权限,并开启:
以应用身份读取通讯录
获取用户基本信息
通过手机号或邮箱获取用户 ID
获取用户手机号
获取用户邮箱信息
查询用户的企业邮箱
第二步:在 GenAuth 控制台配置 飞书企业自建应用
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「飞书」身份源按钮
2.2 选择 「飞书企业自建应用」。
2.3 请在「飞书企业自建应用」页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| App ID | 在飞书应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| App Secret | 在飞书应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
App ID 和 App Secret ,填写在飞书应用的后台, 凭证与基础信息 中的 App ID 和 App Secret 。
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
在飞书开发者后台,打开应用管理页面,选择安全设置,将 GenAuth 后台的 回调地址,添加到 重定向 URL 中
第三步:在飞书后台上线飞书自建应用
3.1 在飞书开发者后台,选择应用发布,在版本管理与发布中,点击创建版本,将创建好的应用进行发布,
3.2 提交申请后,你的企业管理员会进行审核,审核结果会通过飞书和开发者后台发送给你。详情请见飞书文档 - 开发企业自建应用
第四步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
4.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
4.2 在已创建好的 飞书企业自建应用 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
4.3 在登录页面体验 飞书企业自建应用 第三方登录
飞书小组件
场景介绍
- 概述:飞书小组件适用于企业在飞书工作台的使用飞书小组件场景。为企业实现在飞书小组件获取 GenAuth 用户信息。在 GenAuth 中配置并开启 飞书小组件的企业身份源,即可实现通过 GenAuth 快速获取 飞书 基本开放的信息。
- 应用场景:飞书工作台
注意事项
- 如果你未开通 飞书开发者 账号,请先前往 飞书开发者后台 进行注册;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建企业自建应用并开启飞书小组件场景
前往 飞书开发者后台,点击创建企业自建应用,填写相应内容,创建应用。
进入创建的应用,点击应用能力,选择工作台小组件,添加能力。具体配置参考飞书小组件-快速开始
点击凭证与基础信息,查看 App ID 和 App Secret ,打开 GenAuth 控制台。
为了能够正常获取到飞书的用户信息,完成认证流程,需要在权限管理页面,完成权限配置,搜索以下权限,并开启:
以应用身份读取通讯录
获取用户受雇信息
获取用户基本信息
通过手机号或邮箱获取用户 ID
获取用户手机号
获取用户邮箱信息
查询用户的企业邮箱
获取用户组织架构信息
第二步:在 GenAuth 控制台配置 飞书小组件
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「飞书」身份源按钮
2.2 选择 「飞书小组件」。
2.3 请在「飞书小组件」页面,填写相关的字段信息。 
| 字段 | 描述 |
|---|---|
| 唯一标识 | a. 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。 b. 这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| App ID | 在飞书应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| App Secret | 在飞书应用的后台, 凭证与基础信息 中可以看到 App ID 和 App Secret 。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
App ID 和 App Secret ,填写在飞书应用的后台, 凭证与基础信息 中的 App ID 和 App Secret 。
2.4 配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:在飞书后台上线飞书自建应用
3.1 在飞书开发者后台,选择应用发布,在版本管理与发布中,点击创建版本,将创建好的应用进行发布,
3.2 提交申请后,你的企业管理员会进行审核,审核结果会通过飞书和开发者后台发送给你。详情请见飞书文档 - 开发企业自建应用
第四步:开发接入
推荐开发接入方式:调用 GenAuth 开放 API 完成登录流程
详细接入方法:
4.1 参考飞书小组件身份周期,在符合你的业务场景的生命周期中,调用获取飞书相关登录预授权码,调用 GenAuth 登录 API移动端登录 API(以飞书小组件登录)
import promisify from "./libs/api-promise";
/** 以上引入了公共库,作用是:
* promisify: 提供 Promise 化的 API,通过 tt.promises.API_NAME 使用
*/
//...
Block({
// ...
methods: {
async request() {
const { code } = await tt.promises.login();
const response = await tt.promises.request({
url: "https://core.authing.cn/api/v3/signin-by-mobile",
method: "POST",
header: {
"content-type": "application/json",
"x-authing-app-id": 应用 ID,
},
data: {
connection: 'lark_block' //身份源连接类型,
extIdpConnidentifier: 身份源连接标识,
larkBlockPayload: {
code: code //飞书小组件获取的授权码,
},
},
});
this.setData({
info: JSON.stringify(response.data, null, 2),
});
},
},
});4.2 在已创建好的 飞书小组件 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
4.3 上传提交发布你的飞书小组件
Windows AD
场景介绍
- 概述:Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在 GenAuth 中配置并开启 Windows AD 服务商应用扫码 的企业登录,即可实现通过 GenAuth 快速获取 Windows AD 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:企业 PC 免登场景
- 终端用户预览图:
注意事项
- 使用 Windows AD 你需要 Windows 服务器;
- 服务器安装了 Active Directory;
- 运行 GenAuth AD Connector 的机器上,能够连通 Active Directory;
- 一个具有 Active Directory 的读取权限的用户账密。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
本章节包含以下内容:
- Windows AD 在 Windows Server 下的安装
- 安装 AD LDS
- 配置 AD 域服务
- 检查 Active Directory 服务连接
- 安装 AD CS
- 配置 AD CS
- 测试通过
ldaps连接 Active Directory AD 相关策略的修改与测试- 相关
服务以及配置的目的
第一步:Windows AD 在 Windows Server 下的安装
1. 安装 AD 域服务
1.1 打开 Windows Server 中的 服务管理器
1.2 选择 添加角色和功能
1.3 选择 安装类型
1.4 服务器选择
1.5 选择 服务器角色
1.6 选择 功能
1.7 确认
1.8 AD LDS
1.9 安装中
1.10 安装成功
2. 安装 AD LDS
AD LDS 并不是必须要安装的,你也可以选择不进行安装,直接进行
配置 AD 域服务的安装, 此处只是提供安装过程,以及需要注意的点。
2.1 运行 安装向导
2.2 安装向导
2.3 创建 AD LDS 实例
2.4 设置 实例名字
2.5 设置 默认端口
如果该默认端口与
AD 默认端口出现冲突,将导致AD 域服务的先决条件检查失败
2.6 创建应用程序目录分区
2.7 选择存储位置
2.8 选择账户关联
2.9 分配管理权限
2.10 倒入对应的 LDIF
2.11 安装确认
2.12 安装中
2.13 安装完成
3. 配置 AD 域服务
3.1 在 服务管理器 上, 将此服务提升为 域控制器
3.2 部署配置
3.3 域控制器 选项
3.4 DNS 选型
3.5 其他选项
3.6 路径
3.7 查看选项
3.8 先决条件检查
3.9 执行安装即可
###4. 检查 Active Directory 服务连接
此处使用
ldp进行连接测试, 无需输入更多ldap连接相关信息即可获取响应结果, 你也可以使用一些客户端(如 Apache Ldap Studio 等)来完成连接测试。当然AD 管理中心可以打开也意味着当前你的连接测试是没有问题的。
4.1 Win + r 打开 CMD 执行窗口, 键入 ldp
4.2 选择连接, 打开一个连接
4.3 通过 ldap 连接 Active Directory
4.3.1 选择 ldap 协议, 进行测试
4.3.2 查看 连接测试 结果
连接失败情况:
ldaps协议的开启, 需要安装并配置Active Directory 证书服务, 而现在并没有进行相关安装及配置,连接结果应该是失败的。
4.3.3 选择 ldaps 协议, 进行测试
4.3.4 查看 连接测试 结果
###5. 安装 AD CS
5.1 依旧是打开 服务器管理器
5.2 选择 添加角色和功能
5.3 选择 安装类型
5.4 进行 服务器选择
5.5 增加对应的 服务器角色
5.6 选择 添加功能
5.7 选择对应的功能
5.8 AD CS
5.9 选择对应的 角色服务
5.10 确认安装
5.11 安装中
5.12 安装完成
###6. 配置 AD CS
6.1 进入配置目标服务器 AD CS 的界面
6.2 指定 凭据
6.3 选择 角色服务
6.4 指定 CA 的设置类型
6.5 指定 CA 的类型
6.6 配置 私钥
6.7 指定 加密选项
6.8 指定 CA 名称
6.9 指定 CA 有效期
6.10 指定 CA 数据库
6.11 确认当前选项
6.12 查看配置结果
###7. 测试 ldaps 连接 Active Directory
7.1 Win + r 打开 CMD 执行窗口, 键入 ldp
7.2 选择连接, 打开一个连接
7.3 打开测试应用
7.4 查看测试结果
8. AD 相关策略 的修改与测试
8.1 打开 AD 管理中心
或者
8.2 通过 AD 管理中心 新增一个用户
8.3 增加 一个用户
8.4 查看 新增结果
8.5 打开 AD 策略修改器
8.6 编辑 AD 策略
8.7 进入 计算机配置
8.8 进入 策略
8.9 进入 windows 设置
8.10 进入 安全设置
8.11 进入 账户策略
8.12 进入 密码策略
8.13 修改 密码长度最小值
8.14 点击 应用, 点击 确认
8.15 再次尝试新增一个 密码强度不够 的用户
8.16 查看新增结果
相关
服务以及配置的目的
此节主要讲解以上服务安装以及相关配置的目的:
Windows Active Directory 在 Windows Server 下的安装
对于 AD 的相关操作, 前提就是构建一个 AD 服务, 而安装 AD 域服务就是在构建一个 AD 服务
安装 AD LDS
AD LDS 的安装并不是必须的
正如文档介绍: AD LDS 为应用程序特定的数据以及启用目录的应用程序(不需要 AD 域服务基础架构)提供存储. 一个服务器上可以存在多个 AD LDS 实例, 其中每个实例都可以有自己的架构
配置 AD 域服务
配置 AD 域服务 是为了完成 AD 域服务的初始化工作, 以完成后续核心功能的构建
检查 Active Directory 服务连接
检查 Active Directory 服务是否可用, 是否可以通过 ldap 进行连接, 这意味着是否可以将 AD 的管理映射为 ldap 的相关操作
安装 AD CS
AD CS 为 AD 的传输提供了安全的加密套件, 支持 ldaps 协议, 既能保证信息安全传输, 以及不可篡改等。 一些对于信息数据极其敏感的操作需要在 ldsps 下完成, 比如新增一个用户并设置密码, 调整一个用户状态为启用 等. 该项功能的缺失, 会导致 GenAuth 数据同步的用户信息的状态是不可用的
配置 AD CS
配置 AD CS 是为了完成 AD CS 的初始化工作, 以完成后续功能的构建。
测试通过
ldaps连接 Active Directory测试 AD CS 的相关配置是否出现问题, 是否是可用的。
AD 相关策略的修改与测试此项行为主要为了引导用户注意 AD 服务中的密码相关策略, 因为可能导致在 GenAuth 中新增的用户在同步到 AD 的过程中, 出现一些问题。
场景如下:
- GenAuth 中的当前密码强度等级较低, 用户新增加了一个弱密码账户, 而 AD 中的密码当前设置状态要求一定的复杂度, 当用户同步过去的时候, 就会因为这些问题造成同步状态异常(用户虽然可以同步, 但是状态一直是禁用状态,因为密码会设置不成功,不符合 AD 的策略,会导致用户启用不成功)。
- GenAuth 中的用户名现在并没有存在设置特殊的规则进行验证筛选, 也就是默认 GenAuth 中的用户的 username 可以是任何字符串。但是 AD 中的用户名却不是, AD 中的 sAMAccountName 属性, 有一定的限制, 这样就导致了 GenAuth 到 AD 的数据需要处理这些差异性, 而这些差异性的导致来自于不同的系统, 又是较为合理常见的, 我们假设增加一个 GenAuth 用户 username 为
authing@gmail.com, 当进行同步的时候, 常规意义下username与sAMAccountName意义相同的, 这两个字段应该作为映射双方, 但是authing@gmail.com赋值给sAMAccountName是非法的, 必会引起错误。
第二步:在 GenAuth 控制台配置 Windows AD
请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「Windows AD」,进入 「Windows AD 登录模式」页面。
请在 GenAuth Console 控制台 的「企业身份源」-「Windows AD」页面,配置相关的字段信息。
字段 / 功能 描述 唯一标识
- 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。
- 这是此连接的唯一标识,设置之后不能修改。 显示名称 这个名称会显示在终端用户的登录界面的按钮上。 应用 Logo 如果设置,Authing 登录表单将在 "使用 {Display Name} 登录" 的按钮上显示此图标,该图标会展示为 20 * 20。 同步 AD 域密码 如果设置,当 AD 认证成功时,会将用户在 AD 域的密码同步至其在 GenAuth 的密码。 GenAuth 用户密码修改之后,同步修改到 AD 如果设置,当用户在 GenAuth 的密码被修改之后(包含管理员修改密码和用户自己手动重置密码),会将用户在 AD 中的密码也同步修改。 登录模式 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 账号身份关联 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。
配置完成后,点击「创建」按钮完成创建。
成功创建之后,自动跳转到应用详情页,你会得到一个 Provisioning Ticket Url,这个会在下面的步骤中使用:
之后你需要为你的应用开启此 AD 连接:
在 Windows 运行 GenAuth AD Connector
在安装 GenAuth AD Connector 之前,请先确保满足以上条件:
- Windows 服务器;
- 服务器安装了 Active Directory;
- 运行 GenAuth AD Connector 的机器上,能够连通 Active Directory;
- 一个具有 Active Directory 的读取权限的用户账密。
首先你需要下载 GenAuth AD Connector,这是一个 exe 文件,需要运行在你的 Windows AD 服务器,负责和 GenAuth 进行通信。GenAuth AD Connector 需要安装在局域网 AD 域环境中,但不一定要安装到运行 AD 服务的服务器上,只要保证 GenAuth AD Connector 能够访问到 AD 用户目录。
安装 GenAuth AD Connector
点击这里下载最新的 GenAuth AD Connector。
将下载的文件上传到 AD 域环境的机器上,双击应用,进行安装。
系统可能提出警告,点击「仍要运行」。
选择语言,点击「OK」。
点击「下一步」。
接受许可协议并点击「下一步」。
选择软件安装目录,然后点击「安装」。
等待安装完成。
点击「完成」,会弹出命令行窗口,等待安装完成。
中途可能会出现缺少可选依赖的报错信息,可以忽略。看到以下界面说明安装成功,可按任意键退出:
之后你可以在 Windows 的服务管理页面看到 AuthingADConnector 这个服务:
接下来,打开浏览器,访问 http://127.0.0.1:9743,会看到以下界面:
将你的 Provisioning Ticket Url、AD 服务器链接地址、Base DN、域用户名、密码填入,然后点击「保存」按钮。
INFO
如果遇到 Connector 与 GenAuth 链接测试失败问题,请稍等一会儿,可能因为网络延迟问题,Connector 与 GenAuth 握手尚未完成。
INFO
如果遇到 AD 相关的错误,请检查 AD 服务器链接、账密信息是否正确。
第三步:可选操作:Windows Active Directory 用户目录双向同步
本部分包含以下章节:
AD 双向同步的开启时间AD 双向同步的功能点AD 同步到 GenAuthGenAuth 同步到 AD用户验证相关同步一个完整的双向同步过程
AD 双向同步 的开启时间
配置好之后,你可以选择对应的导入方式导入组织机构。
默认情况下,当你使用 AD 导入组织机构的之后, 并且你已经完成前面相关步骤, 此时 AD 的双向同步已经开启
AD 双向同步 的功能点
- 从 AD 同步到 GenAuth
- 新增用户信息
- 改动用户信息
- 删除用户信息
- 增加组织节点
- 变更组织节点信息
- 增加组织成员
- 删除组织成员
- 删除组织节点
- 从 GenAuth 同步到 AD
- 用户新增(增加组织成员)
- 用户更改
- 用户删除
- 增加组织成员
- 删除组织成员
- 组织节点删除
- 组织节点信息变更
- 组织节点新增
- 用户认证
- AD 用户导入
- GenAuth 用户同步到 AD
初始化测试环境
- 进入
AD 根节点, 新建一个 组织单位
- 创建
authing-test组织单位
- 查看该
组织单位的属性
- 进入
属性编辑器
- 复制
该组织单位的DN
在 GenAuth 控制台,进入同步中心,创建同步任务,选择 创建 Windows AD 同步任务,填写 唯一标识后 保存。
填写
AD-Connector相关配置,并进行保存。注意:只有AD-Connector和GenAuth 控制台都保存后,控制台的同步任务的测试连通才是可用的
AD 同步到 GenAuth
新增用户信息
改动用户信息
删除用户信息
增加组织节点
变更组织节点信息
增加组织成员
删除组织成员
删除组织节点
GenAuth 同步到 AD
用户新增(增加组织成员)
- 在 GenAuth 中新增一个
用户
- 新增
用户信息
- 确保存在
来自 AD导入的组织机构
- 将新增的
用户导入到对应的组织机构
用户导入之前的AD 数据状态
用户导入之后的AD 数据状态
用户更改
修改该用户的信息修改之前的AD 数据状态修改之后的AD 数据状态
用户删除
删除该用户的信息删除之前的AD 数据状态删除之后的AD 数据状态
增加组织成员
等同于用户新增(增加组织成员)
删除组织成员
删除一个组织节点的 成员删除组织成员之前的AD 数据状态删除组织成员之后的AD 数据状态
组织节点新增
新增一个组织节点新增组织节点之前的AD 数据状态新增组织节点之后的AD 数据状态
组织节点信息变更
变更组织节点信息变更之前的AD 数据状态变更之后的AD 数据状态
组织节点删除
删除组织节点删除之前的AD 数据状态删除之后的AD 数据状态
用户认证
AD 用户导入
GenAuth 用户同步到 AD
AD 免登
场景介绍
- 概述:AD 免密自动登录功能支持 Windows、MacOS 系统,可实现用户在登录 PC 终端后通过免密方式进行自动身份认证,访问内部资源如: Web Apps。
- 应用场景:企业 PC 免登场景
- 终端用户预览图:
注意事项
- Windows Domain Controller 域控制器,Schema Windows 2003 或以上
- 需要提供域内 Windows 终端 CA 信任的证书,实现高网络安全环境 (SSL/TLS)
- 需要建立域内一个系统账户(不需任何权限)
- 需要域管理员 (Domain Admin) 在 DC 上执行命令权限
- 需要一个内网固定 IP 地址
- 需要在域内创建一个 DNS A / CNAME 记录
- 需要添加一条 Domain Group Policy 域内信任策略 (启用 Windows 自动登录,域内可信任地址)
- 需要提供以下任意一个环境用于安装 GenAuth 域内代理服务:
- 虚拟机 (ESXi)
- Docker
- 如果你未开通 GenAuth控制台账号,请先前往 GenAuthConsole 控制台 注册开发者账号;
配置步骤
具体配置步骤较为繁琐,请联系 GenAuth 售后服务人员。
Azure AD
场景介绍
- 概述:Azure AD 是 Microsoft 提供的具有集成安全性的完整标识和访问管理解决方案。在 GenAuth 中配置并开启 Azure AD 的企业登录,即可实现通过 GenAuth 快速获取 Azure AD 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你还没有微软账号,请先前往 Microsoft 平台 进行账号注册。
- 你的微软账号需要注册 Azure 账号,请先前往 Azure 平台 进行账号注册。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建 Azure Active Directory 应用
前往 Azure 平台,点击管理 Azure Active Directory。
在概览页,选择新注册,找到应用注册按钮,注册应用。
在应用注册页面,受支持的帐户类型,根据你的实际情况选择合适的类型。如果你希望其他组织的账号也能够使用你的应用,可以选择任何组织目录(任何 Azure AD 目录 - 多租户)中的帐户,如果你只希望自己组织的成员使用你的应用,请选择仅此组织目录(仅 默认目录 - 单一租户)中的帐户。重定向 URI 类型选择 Web,填入回调地址https://core.GenAuth.cn/connections/azure-ad/callback
点击注册。
第二步:在 GenAuth 控制台配置 Azure AD
2.1 请在 GenAuth Console 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,选择「Azure AD」身份源按钮,进入 「Azure AD 登录模式」页面。
2.2 请在 GenAuth Console 控制台 的「企业身份源」-「Azure AD」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 身份源域名 | Azure AD 有两个不同的认证域名,两者之间用户数据互不相通,可以通过确认当前已有业务使用的登录认证域名,在此选择相同的认证域名,进行用户认证。 |
| 目录(租户) ID | 目录(租户) ID ,不填写默认选择为 organization,即只有组织内账号能在应用进行登录。 |
| 应用程序(客户端) ID | 应用程序(客户端) ID,需要在 Azure AD 平台上获取。 |
| 客户端密码(值) | 客户端密码(值),需要在 Azure AD 平台上获取 |
| 回调地址 | Azure AD 的重定向 URI。需要将此 URL 配置到 Azure AD 平台上,填写内容为**https://core.authing.cn/connections/azure-ad/callback**。 |
| 邮箱验证同步策略 | 用户认证后,是否将用户邮箱验证状态标识为已验证 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
2.2.1 在应用的概述页,可以找到 应用程序(客户端) ID 和 目录(租户) ID
2.2.2 在应用的证书和密码页,点击生成 新客户端密码,可以获得客户端密码值
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 Azure AD 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 Azure AD 第三方登录
第四步:常见报错问题解决
4.1 如果你选择的受支持的账户类型是仅此组织目录(仅 默认目录 - 单一租户)中的账户,当其他组织的用户尝试使用 Azure AD 登录时,会提示类似以下的错误:
OIDC
场景介绍
- 概述: 不同的 OIDC 身份服务商创建 OIDC Client 的过程可能会有所不同,你需要参考你的 OIDC 身份服务商的文档指引创建 OIDC Client。OIDC 是一个基于 OAuth2 协议的身份认证标准协议。
- 应用场景:创建 OIDC Client
- 终端用户预览图:
注意事项
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号。
第一步:在 OIDC 身份服务商中创建一个 OIDC Client
不同的 OIDC 身份服务商创建 OIDC Client 的过程可能会有所不同,你需要参考你的 OIDC 身份服务商的文档指引创建 OIDC Client。
你需要在合适的地方配置 OIDC Client 的回调链接。OIDC 客户端发起登录请求的时指定的回调链接需要和在 OIDC Identity Provider 处配置的回调链接匹配,否则会报错。
GenAuth 的 OIDC 回调链接为:https://core.authing.cn/connections/oidc/callback。
第二步:在 GenAuth 控制台配置 OIDC Client
- 请在 GenAuth 控制台 的「企业化身份源」页面,点击「创建企业化身份源」按钮,进入「选择企业化身份源」页面。
- 请在 GenAuth 控制台 的「企业化身份源」-「选择企业化身份源」页面,点击「OIDC」身份源按钮,进入 「OIDC 登录模式」页面。
- 请在 GenAuth 控制台 的「企业化身份源」-「OIDC」页面,配置相关的字段信息。
字段 / 功能 描述 唯一标识
- 唯一标识由小写字母、数字、- 组成,且长度小于 32 位。
- 这是此连接的唯一标识,设置之后不能修改。 显示名称 这个名称会显示在终端用户的登录界面的按钮上。 应用 Logo GenAuth 登录表单将在 "使用 {Display Name} 登录" 的按钮上显示此图标,该图标会展示为 20 * 20。 模式 前端模式会使用 response_mode=form_post 和 response_type=id_token 模式,后端模式会使用 response_type=code 授权码模式。 Issuer URL 你想要连接的 OpenID Connect provider 的 Issuer URL。 Client ID OIDC 身份服务商提供的 Client ID。 Client Secret OIDC 身份服务商提供的 Client Secret。 回调地址 有效跳转 URI。需要将此 URL 配置到 OIDC 身份服务商上。 登录模式 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 账号身份关联 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。
配置完成后,点击「创建」或者「保存」按钮完成创建。
第三步:选择 OIDC 的连接模式
- 前端模式:这种模式下,用户信息的交换会全部在浏览器前端完成,会使用 response_mode=form_post 和 response_type=id_token 模式,请确保你的 OIDC 应用打开了 implicit 模式,并且返回类型勾选上了 id_token
- 后端模式: 这种模式下,用户信息的交换会在 GenAuth 的服务器进行,会使用 response_type=code 授权码模式,所以需要提供你 OIDC 应用的密钥。
第四步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
在 GenAuth 控制台创建一个 OIDC Client,详情查看:如何在 GenAuth 创建一个应用。
在已创建好的 OIDC Client 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
- 在登录页面体验 OIDC 第三方登录。
OAuth2.0
场景介绍
- 概述:OAuth2.0 是一个授权标准协议。 用户登录第三方应用时,可以通过使用 OAuth2.0 协议将数据安全的授权给调用方,通过验证后就可以完成免密登录第三方应用。它允许用户访问多个应用程序,同时仅向中央 CAS 服务器应用程序提供一次凭据(例如用户 ID 和密码)。GenAuth 支持 OAuth2.0 协议的认证能力,用户仅需提供 OAuth2.0 认证服务。通过配置 OAuth2.0 身份源后就可以使用其完成单点登录和登出功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 需要一个支持 OAuth2.0 协议能力的服务;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台 注册开发者账号;
第一步:创建 OAuth2.0 身份源
现有很多网站提供的第三方登录都遵循 OAuth2.0 标准协议,可能很多网站处理细节不一致也可以基于 OAuth2.0 协议进行扩展,但整体授权认证流程都是一样的。所以可以使用支持 OAuth2.0 认证的第三方登录应用作为身份源。
如果没有可使用的身份源,也可以让 GenAuth 成为 OAuth2.0 身份源,其他系统可以通过 OAuth2.0 协议接入 GenAuth 作为身份提供商。详细可以参考:成为 OAuth2.0 身份源。
第二步:在 GenAuth 控制台配置 OAuth2.0 身份源
2.1 打开 GenAuth 控制台,进入想要连接 OAuth2.0 身份源的用户池,这里称其为 「用户池 B」。在左侧菜单中选择 「连接身份源」 > 「企业身份源」,在右侧面板选择「创建企业身份源」。
2.2 在右侧面板找到「 OAuth2.0」,点击进去。
2.3 根据 OAuth2.0 的配置要求,填入 OAuth2.0 协议所要求的配置内容。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 应用 Logo | 在登录界面按钮上显示的身份源 Logo 。 |
| 授权 URL | 用来向 OAuth2.0 IdP 发起认证请求的 URL。填入之前记录的「登录端点」。 |
| Token URL | 用来从 OAuth2.0 IdP 处获取身份信息的 URL。填入之前记录的「service ticket 检验端点(CAS 2.0」。 |
| Scope 授权范围 | 授权请求时携带的授权范围。 |
| Client ID | 你的 OpenID Connect provider 的 Client ID。 |
| Client Secret | 你的 OpenID Connect provider 的 Client Secret。 |
| 授权链接模版 | 拼接授权 URL 用于请求自动生成授权请求链接。 |
| Code 换 Token 脚本 | 授权过程中需要的 Code 换取 Token 的脚本。 |
| Token 换用户信息脚本 | 授权过程中需要的 token 换取用户信息的脚本。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「保存」按钮完成创建。
步骤 3: 开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的 OAuth2.0 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验 OAuth2.0 的企业化登录
LDAP
场景介绍
概述:LDAP(轻型目录访问协议)是一种软件协议 ,使任何人都可以在公共互联网或公司内网上查找网络中的组织,个人和其他资源(例如文件和设备)的数据 。LDAP 是目录访问协议(DAP)的“轻量级”版本,它是 X.500( 网络中目录服务的标准 )的一部分。
应用场景:PC 网站
终端用户预览图:
注意事项
- 需要一个 LDAP 服务;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台注册开发者账号;
第一步:创建 LDAP 身份源
GenAuth 支持使用 LDAP 协议查看、修改、增加和删除用户信息。所以如果没有自己的 LDAP,可以使用 GenAuth 的 LDAP 用户目录。
第二步:在 GenAuth 控制台配置 LDAP 身份源
2.1 打开 GenAuth 控制台,进入想要连接 LDAP 身份源的用户池,这里称其为 「用户池 B」。在左侧菜单中选择 「连接身份源」 > 「企业身份源」,在右侧面板选择「创建企业身份源」。
2.2 在右侧面板找到「 LDAP」,点击进去。
2.3 根据 LDAP 的配置要求,填入 LDAP 协议所要求的配置内容。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| LDAP 链接 | LDAP 服务器的地址。 |
| Bind DN | 用于连接 LDAP 的用户名,此用户名将用于测试连接结果和搜索用户或用户组。 |
| Bind DN 密码 | 用于连接 LDAP 的密码,该密码将会被加密存储到数据库中。 |
| Users DN | 定义从哪个目录开始搜索,如:dc=fabrikam,dc=local |
| 查询条件 | 该条件结合 bindDN 以及对应的 secret 进行用户查找,用于检索用户的 dn 信息,结合用户密码进行 ldap 认证。支持自定义 filter 表达式,基本形式为:&(objectClass=organizationalPerson)(cn=%s)。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「保存」按钮完成创建。
GenAuth 也提供对 LDAP 连接的测试,测试 LDAP 服务的连通性和账号密码是否正确,帮助你检查参数是否填写正确了。
步骤 3: 开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的 LDAP 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验 LDAP 的企业化登录。
SAML
场景介绍
- 概述:安全断言标记语言(英语:Security Assertion Markup Language,简称 SAML,发音 sam-el)是一个基于 XML 的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者和服务提供者之间交换。SAML2.0 可以实现基于网络跨域的单点登录(SSO), 以便于减少向一个用户分发多个身份验证令牌的管理开销。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 需要一个支持 SAML 协议能力的服务;
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台注册开发者账号;
第一步:创建 SAML 身份源
在 GenAuth 开启 SAML2 身份提供商,为其他服务商提供身份断言。让 GenAuth 成为 SAML 身份源,其他系统可以通过 SAML 协议接入 GenAuth 作为身份提供商。详细可以参考:成为 SAML 身份源。
第二步:在 GenAuth 控制台配置 SAML 身份源
2.1 打开 GenAuth 控制台,进入想要连接 SAML 身份源的用户池,这里称其为 「用户池 B」。在左侧菜单中选择 「连接身份源」 > 「企业身份源」,在右侧面板选择「创建企业身份源」。
2.2 在右侧面板找到「 SAML」,点击进去。
2.3 根据 SAML 的配置要求,填入 SAML 协议所要求的配置内容。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 应用 Logo | 在登录界面按钮上显示的身份源 Logo 。 |
| 验签证书 | SAML Identity Provider 的验签证书。 |
| 登录 URL | SAML Identity Provider 的登录 URL。 |
| SAML 请求签名 | 是否加密 SAML 请求。 |
| SAML 请求签名算法 | 默认为 rsa-sha256。 |
| SAML 请求摘要算法 | 默认为 sha256。 |
| SAML 请求协议绑定 | 默认为 HTTP-Redirect。 |
| ACS URL | 断言消费地址。 |
| 元数据 XML 文件 | SAML Identity Provider 元数据的地址。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「保存」按钮完成创建。
步骤 3: 开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的 SAML 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验 SAML 的企业化登录
CAS
场景介绍
- 概述:CAS (Central Authentication Service ) 是一种用于 Web 的单点登录/单点登出协议。 它允许用户访问多个应用程序,同时仅向中央 CAS 服务器应用程序提供一次凭据(例如用户 ID 和密码)。GenAuth 支持 CAS 协议的认证能力,用户仅需提供 CAS 协议认证所需的服务和配置。通过配置 CAS 身份源后就可以使用其完成单点登录和登出功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 需要一个有 CAS 协议能力的服务;
- 下文将以 GenAuth 自带的 CAS IdP 为例。连接 CAS 身份源的用户池和作为 CAS 身份源的用户池不能是同一个。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth Console 控制台注册开发者账号;
第一步:创建 CAS 身份源
你需要配置自己的 CAS 身份源(即身份提供者 IDP)并获取相关信息。本例将以 GenAuth 自带的 CAS IdP 为例。如果你已经有 CAS 身份源,可直接进入第 2 步进行配置。
1.1 打开 GenAuth 控制台,进入想要作为身份源的用户池,这里称其为 「用户池 A」。单击左侧菜单的「应用」选项,在右侧面板找到想要启用 CAS IdP 能力的应用,点击进入应用配置页面。
1.2 在「应用配置」选项卡中找到「其他配置」,打开「启用 CAS IdP」开关,并单击「保存」按钮。记录下「登录端点」和「service ticket 检验端点(CAS 2.0)」两项的内容,之后的配置中会用到。
第二步:在 GenAuth 控制台配置 CAS 身份源
2.1 打开 GenAuth 控制台,进入想要连接 CAS 身份源的用户池,这里称其为 「用户池 B」。在左侧菜单中选择 「连接身份源」 > 「企业身份源」,在右侧面板选择「创建企业身份源」。
2.2 在右侧面板找到「CAS」,点击进去。
2.3 根据 CAS 的配置要求,填入 CAS 协议所要求的配置内容。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 应用 Logo | 在登录界面按钮上显示的身份源 Logo 。 |
| CAS 认证 URL | 用来向 CAS IdP 发起认证请求的 URL。填入之前记录的「登录端点」。 |
| CAS Ticket 检验 URL | 用来从 CAS IdP 处获取身份信息的 URL。填入之前记录的「service ticket 检验端点(CAS 2.0」。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「保存」按钮完成创建。
步骤 3: 开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用。
3.2 在已创建好的 CAS 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用。
3.3 在登录页面体验 CAS 的企业化登录
WeLink
场景介绍
- 概述:WeLink 企业身份源登录是用户以 WeLink 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启 WeLink 的企业身份源登录,即可实现通过 GenAuth 快速获取 WeLink 基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
- 终端用户预览图:
注意事项
- 如果你未开通 WeLink 开放平台账号,请先前往 WeLink 开放平台 注册开发者账号。
- 如果你未开通 GenAuth 控制台账号,请先前往 GenAuth 控制台 注册开发者账号;
第一步:创建 WeLink 应用
前往 WeLink后台,创建We码应用。
填写应用基本信息
然后点击提交。
第二步:在 GenAuth 控制台配置 WeLink
2.1 请在 GenAuth 控制台 的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面。
2.2 请在 GenAuth 控制台 的「企业身份源」-「选择企业身份源」页面,点击「WeLink」身份源按钮,进入 「WeLink 登录模式」页面。
2.3 请在 GenAuth 控制台 的「企业身份源」-「WeLink」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| Client ID | Client ID,需要在 WeLink 开放平台上获取。 |
| Client Secret | Client Secret,需要在 WeLink 开放平台上获取 |
| 回调地址 | WeLink 有效 OAuth 跳转 URI。需要将此 URL 配置到 WeLink 开放平台上。 |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
| 账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」或者「保存」按钮完成创建。
在 GenAuth 控制台上创建完 WeLink 身份源后,需要将回调地址配置到 WeLink 的开放平台上的 WeLink 应用的应用管理后台。
第三步:开发接入
推荐开发接入方式:使用托管登录页
优劣势描述:运维简单,由 GenAuth 负责运维。每个用户池有一个独立的二级域名;如果需要嵌入到你的应用,需要使用弹窗模式登录,即:点击登录按钮后,会弹出一个窗口,内容是 GenAuth 托管的登录页面,或者将浏览器重定向到 GenAuth 托管的登录页。
详细接入方法:
3.1 在 GenAuth 控制台创建一个应用,详情查看:如何在 GenAuth 创建一个应用
3.2 在已创建好的 WeLink 身份源连接详情页面,开启并关联一个在 GenAuth 控制台创建的应用
3.3 在登录页面体验 WeLink 第三方登录
致远 OA
场景介绍
- 概述 致远 OA 企业登录是用户以致远 OA 为身份源安全登录第三方应用或者网站。在 GenAuth 中配置并开启致远 OA 登录,即可实现通过 GenAuth 快速获取致远 OA 基本用户信息和帮助用户实现免密登录功能。
- 应用场景:PC 网站
注意事项
- 需要致远 OA 的管理员账户,并且目前只支持致远 OA A8v5 版本。
第一步:进入配置后台
1.1 进入管理后台(参考地址:{致远 OA 域名}/seeyon/main.do?method=main&fl=1&switchToAdmin=1), 切换为集团管理员身份 
选择进入 CIP 集成平台
在第三方应用栏目中,选择产品登记,点击新建,填写表单,对填写的内容没有指定要求,完成后确定创建即可
完成登记创建后,选择应用注册,点击新建,填写表单中,登记产品编码,选择刚刚在产品登记创建的产品编码,接入方式选择 PC,其他内容不做要求
第二步:在 GenAuth 控制台配置 致远 OA
2.1 请在 GenAuth Console 控制台 的「企业身份源」-「致远 OA」页面,配置相关的字段信息。
| 字段/功能 | 描述 |
|---|---|
| 唯一标识 | a.唯一标识由小写字母、数字、- 组成,且长度小于 32 位。b.这是此连接的唯一标识,设置之后不能修改。 |
| 显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
| 域名地址 | 设置致远 OA 所在域名,以 http:// or https:// 开头, 结尾带 ‘/’ ,如 https://oa.authing.cn |
| 登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
配置完成后,点击「创建」或者「保存」按钮完成创建,获取到身份源连接 ID,并开启需要使用该登录方式的应用,回到致远 OA 管理后台
切换到应用接入栏目,选择你要使用的应用,点击接入设置
在设置页,绑定类型选择免绑定,匹配类型为账户匹配
进入单点登录设置页,选择启用,应用类型为 首页与功能单元,展示类型为 新页签,认证模式为门户认证机制, SSO 接口为 https://core.authing.cn, PC 登录地址为 https://core.authing.cn/api/v3/signin-by-extidp?client_id=&ext_idp_conn_id={身份源连接 ID}&response_type=code&scope=openid%20profile%20email%20phone%20username%20address%20offline_access&redirect_uri=
花括号内为需要更改的内容
注意,需要选择登录授权的用户,只有有权限的用户才能够使用该登录方式
开启账号关联,可以通过用户名匹配到已有的用户池用户。
打开致远 OA 用户侧首页,在功能 tab 列表中,已经展示了上文创建的应用,点击即可完成 GenAuth 登录,跳转到应用指定的登录回调页
自定义数据库概览
使用自定义数据库可以满足以下场景的需求:
- 使用自己的数据库保存用户数据:完全使用自己的数据库保存用户数据,这种模式下,GenAuth 将不会存储你的任何用户信息。
- 惰性迁移用户到 GenAuth:这种迁移用户的模式称为惰性迁移(lazy migration),简单来说原理如下:最开始所有的原始用户数据在你的数据库,当用户第一次尝试在 GenAuth 登录时,GenAuth 会通过你配置的自定义数据库脚本在你的数据库查找并验证用户,如果成功,会将该用户迁移到 GenAuth 中;该用户第二次登录时,将使用 GenAuth 的数据库对其进行验证;当所有的用户都至少登录一次时,意味着迁移上云任务完成。详情请见:使用自定义数据库实现用户惰性迁移。
你可以通过以下方式配置自定义数据库:前往 GenAuth 控制台 的 连接身份源 - 自定义数据库 页面开启自定义数据库连接,详情请见配置自定义数据库:
How it Works
如下图所示,你可以在 GenAuth 的认证流中自定义数据库从 Legacy Database 中获取用户的身份信息。取决于你所使用的场景,流程原理也会稍有不同。
自定义数据库有两种不同模式,你可以根据自己的业务需求选择合适的模式:
- 惰性迁移用户:这种迁移用户的模式称为惰性迁移(lazy migration),简单来说原理如下:最开始所有的原始用户数据在你的数据库,当用户第一次尝试在 GenAuth 登录时,GenAuth 会通过你配置的自定义数据库脚本在你的数据库查找并验证用户,如果成功,会将该用户迁移到 GenAuth 中;该用户第二次登录时,将使用 GenAuth 的数据库对其进行验证;当所有的用户都至少登录一次时,意味着迁移上云任务完成。详情请见:使用自定义数据库实现用户惰性迁移。
- 完全使用自定义数据库:这种模式下用户数据始终保存在你的数据库中,GenAuth 永远不会保存你的用户数据。为了让系统正常工作,你需要实现完整的用户增删改查脚本。
运行环境
目前 GenAuth 的自定义数据库脚本运行环境为 node 12 环境的完全隔离沙盒实例。
npm 模块
包含各种数据库连接 Client、axios、bcrypt、lodash 等:
- bcrypt: 可用于加密和校验密码,这也是我们推荐的密码加密方式,使用起来也非常简单。示例:
const isPasswordValid = await bcrypt.compare(password, user.password);
if (!isPasswordValid) {
throw new Error('密码错误');
}- axios: Node.JS 最流行的网络请求库。
- lodash v4。
- pg: Node PostgresQL Driver。
- mongodb: Node Mongodb Driver。
- mysql2: Node MySQL Driver。
- mssql: Node Sql Server Driver。
添加 IP 白名单
如果你在脚本中访问的服务配置有防火墙,请确保其对以下 IP 地址开放:140.179.19.50, 52.80.250.250 . 你还可以通过以下 API 动态获取 GenAuth 服务器对外 IP 地址:https://core.authing.cn/api/v2/system/public-ips。
配置数据库连接和编写脚本
你可以自定义数据库认证用户,为此你需要配置数据库连接、编写数据库操作脚本、配置环境变量(可选)。
请确保你的数据库有 GenAuth 用户资料必须的一些字段,如
id、photo、nickname、username、phone等,详情请见 GenAuth 用户 Profile 详细字段及其释义 了解 GenAuth 用户资料 Schema。
GenAuth 支持直接连接以下几种主流的数据库以及自定义 Web Service:
- MySQL
- PostgreSQL
- MongoDB
- Web Services: 你可以将数据库封装成一个服务,不直接对外暴露数据库连接,如你可以把认证操作封装成一个 API:
https://mydomain.com/auth。
INFO
如果你在脚本中访问的服务配置有防火墙,请确保其对以下 IP 地址开放:140.179.19.50, 52.80.250.250 . 你还可以通过以下 API 动态获取 GenAuth 服务器对外 IP 地址:https://core.authing.cn/api/v2/system/public-ips。
开启自定义数据库连接
WARNING
开启自定义数据库后会立即生效,在你还没有编写自定义脚本之前,用户尝试登录会提示类似 Please implement the Login script for this database connection 的错误,这是从默认的脚本提示的错误,请前往修改脚本,或暂时关闭自定义数据库连接。
登录 GenAuth 控制台,在 连接身份源 - 自定义数据库 页面,点击 开启按钮:
选择场景
自定义数据库有两种不同模式,你可以根据自己的业务需求选择合适的模式:
- 惰性迁移用户:这种迁移用户的模式称为惰性迁移(lazy migration),简单来说原理如下:最开始所有的原始用户数据在你的数据库,当用户第一次尝试在 GenAuth 登录时,GenAuth 会通过你配置的自定义数据库脚本在你的数据库查找并验证用户,如果成功,会将该用户迁移到 GenAuth 中;该用户第二次登录时,将使用 GenAuth 的数据库对其进行验证;当所有的用户都至少登录一次时,意味着迁移上云任务完成。详情请见:使用自定义数据库实现用户惰性迁移。
- 完全使用自定义数据库:这种模式下用户数据始终保存在你的数据库中,GenAuth 永远不会保存你的用户数据。为了让系统正常工作,你需要实现完整的用户增删改查脚本。
配置数据库连接信息
接下来填写数据库连接信息,你可以选择 Connection URI 和 Programmatic 两种方式:
Connection URI 形式
Connection URI 一般是 protocol://username:password@host:port/database 这种形式的 URI,如 postgres://postgres:postgres@localhost:5432/database-name,你可以在脚本中通过全局变量 env.DB_CONNECTION_URI 引用,如下所示:
const { Client } = require('pg')
const client = new Client({
connectionString: env.DB_CONNECTION_URI,
})
await client.connect()Programmatic 形式
这种模式分别指定数据库 Host、端口、用户名、密码、database 名称,可以分别在脚本中通过全局变量 env.DB_HOST、env.DB_PORT、env.DB_USERNAME、env.DB_PASSWORD、env.DB_DATABASE 引用,如下所示:
const { Client } = require('pg')
const client = new Client({
host: env.DB_HOST,
port: env.DB_PORT,
user: env.DB_USERNAME,
password: env.DB_PASSWORD,
database: env.DB_DATABASE,
})
await client.connect()编写数据库操作脚本
我们目前提供了 MySQL、PostgreSQL、MongoDB、自定义服务 四种方式的模版,你可以根据需要编写对应的脚本。
选择 迁移用户数据到 GenAuth(LAZY_MIGRATION) 模式时,你一共需要编写两个函数:
- 登录:该脚本会在用户尝试登录的时候执行,如果该用户未同步到 GenAuth 数据库,会根据你填写的此脚本检验用户账号密码。
- 查找用户:该脚本会在用户尝试注册的时候执行,如果该脚本返回了用户身份信息,会提示用户用户已存在而注册失败。
选择 完全使用自己的数据库(CUSTOM_USER_STORE) 模式时,你一共需要编写以下几个函数:
- 登录:该脚本会在用户尝试登录的时候执行,如果该用户未同步到 GenAuth 数据库,会根据你填写的此脚本检验用户账号密码。
- 精确查找用户:该脚本会在用户尝试注册的时候执行,如果该脚本返回了用户身份信息,会提示用户用户已存在而注册失败。
- 模糊搜索用户:该脚本会在管理员使用控制台或者 API 模糊搜索用户的时候调用。
- 创建用户:该脚本会在用户注册或者使用 API 和控制台创建用户时执行,你需要将用户信息保存到自己的数据库中。
- 修改用户资料:该脚本会在管理员修改用户资料或者用户自己修改用户资料时执行。
- 删除用户:该脚本会在管理员使用控制台或者 API 删除用户账号时执行。
- 获取用户列表:该脚本会在管理员使用控制台或者 API 获取用户列表时执行,这个接口需要的数据中需要包含用户总数、当前页用户列表。
- 验证密码:该脚本会在用户尝试重置密码,验证其原始密码时执行。
script-templateCode snippet: script-template
测试数据库脚本
我们给开发者提供了一个供快速测试测试的在线数据库,你可以使用此数据库进行快速测试,点击此访问。
TIP
该数据库对所有用户免费开放,数据库连接信息为 postgres://postgres:postgres_root_local@47.74.20.164:31000/custom-db-connection,你可以创建测试用户,或者使用列表中的示例用户。
配置好 Connection URI 之后点击保存,在点击最下方的 调试 按钮。
在弹出的表单中填写示例用户池用户列表中的某个用户:
点击测试按钮,你应该可以看到相关成功提示。
惰性迁移用户到 GenAuth
迁移流程
GenAuth 支持从自定义数据库中以不停机的形式平稳迁移用户到 GenAuth,当启用此功能时会对登录注册请求产生以下影响:
认证请求:
- 用户第一次认证时会使用你配置的自定义数据脚本认证用户,认证成功之后会将其迁移到 GenAuth 数据库,否则提示其用户不存在或者密码不正确。
- 用户不需要修改账号密码。
- 该用户接下来的认证都会走 GenAuth 数据库。
- 当所有用户都至少经过一次成功认证之后,标志着数据库迁移平稳完成。
注册请求:
- 用户注册时会首先检查其在 GenAuth 数据库中是否存在,如果已存在返回错误提示。
- 如果 GenAuth 数据库中不存在该用户,通过
getUser接口检查该用户是否在自定义数据库中存在,如果已存在返回错误提示。 - GenAuth 数据库和自定义数据库都不存在此用户,则注册成功。
配置脚本
你需要在GenAuth 控制台,连接身份源 - 自定义数据库 页面编写登录和查找用户脚本,详情请见:
验证迁移效果
当你开启了用户数据迁移之后,你可以通过以下方式验证已完全迁移的用户:
- 使用获取用户列表或搜索用户的管理 API。
- 在GenAuth 控制台 用户管理 - 用户列表 页面查看用户。
用户迁移完成之后
当所有用户都迁移完成之后,将自定义数据库关闭即可。
完全使用自定义数据库保存用户数据
迁移流程
使用这种模式时,用户数据始终保存在你的数据库中,GenAuth 永远不会保存你的用户数据。为了让系统正常工作,你需要实现完整的用户增删改查脚本。
配置脚本
你需要在GenAuth 控制台,连接身份源 - 自定义数据库 页面编写登录、查找用户、创建用户、更新用户资料、删除用户、获取用户列表、验证密码 脚本,详情请见:
最佳实践
- 我们推荐用户完成认证被迁移到 GenAuth 数据库之后,在原有数据库中标记此用户为已被迁移。
- 不要硬编码数据库连接等信息,推荐使用数据库连接信息和环境变量管理此类常量数据。我们会在数据库中加密存储这类信息,但是出于性能考虑,不会加密存储你上传的源代码。
账号绑定
GenAuth 支持通过各种不同的方式登录:
常规方法是,你的用户使用账号密码、短信 / 邮箱验证码的方式完成登录。
另有一种便捷方式,如果你配置了第三方账号登录,那么你的用户可以直接通过自己的第三方账号实现一键登录。
在什么情况下你需要账号绑定功能?
我们来设想一种常见的场景:
你准备开始使用 GenAuth 的用户池。由于你的业务已经在正式运行中,已经积累了一些存量用户。于是首先你将存量用户导入到了你的 GenAuth 用户池:
这时,你的用户列表中用户信息可能已经包含了相应用户的手机号、邮箱、用户名等信息:
在这种情况下,你希望通过 GenAuth 提供的第三方账号登录能力,让你的用户不必每次登录时都必须输入账号密码,而是可以直接一键登录。
此时你可能会产生疑问:通过第三方账号登录至你集成在 GenAuth 的应用,如何保证用户通过不同登录方式到达同一个账号?
用户旅程
在开始详细介绍账号绑定功能之前,我们首先以「PC 微信扫码」身份源登录方式为例介绍 GenAuth 的账号绑定功能在你的用户登录全旅程中的作用,详见下图:
功能概要
当你在 GenAuth 配置第三方身份源时,可以通过「账号绑定」功能确保你的用户无论使用任何一种方式登录,最终都会登录到同一个账号,从而确保每个用户在 GenAuth 的账号唯一性。
GenAuth 支持通过两种方式实现账号绑定:
询问绑定
字段匹配
以 Github 为例:
你可以根据使用的身份源类型以及期望的用户旅程选择更适用的账号绑定模式。
字段匹配
「字段匹配」适用于能够获取到 GenAuth 用户账号的唯一性字段的身份源。
功能作用
开启「字段匹配」后,当你的用户首次通过这个身份源登录时,我们会使用从该身份源拉取到的、你所配置的字段,在 GenAuth 用户池中进行对应字段的匹配。匹配有两种可能的结果:
- 匹配成功:用户将会直接成功登录至匹配到的账号,并完成该账号与该身份信息的绑定;
- 匹配失败:将会在你的用户池自动创建新账号,该用户后续再次使用这种方式登录时,将会登录至本次创建的新账号。特别的,如果你的应用禁止注册,那么在匹配失败时该用户将会被禁止创建新账号,他将无法登录,保障你的应用访问安全。
用户使用旅程
按照上述步骤开启字段匹配后,当你的用户首次通过这个身份源进行登录时,会经历以下路径(以 Github 为例):
第一步:使用 Github 登录
第二步:从 Github 获取到用户邮箱,在你的用户池中与存量用户进行邮箱匹配
第三步:
- 匹配成功:登录至已有账号
- 匹配失败:创建用户/禁止注册
管理员配置步骤
- 在你要使用的身份源配置区找到「账号绑定」,并打开开关
- 选择「字段匹配」
- 选择匹配时使用的字段(手机号/邮箱/其他字段)
以 Github 为例:
询问绑定
「字段匹配」适用于能够获取到 GenAuth 用户账号的唯一性字段的身份源。对于其他由于第三方账号本身限制导致无法获取到关键性用户信息的身份源,你可以使用「询问绑定」的方式实现用户账号绑定的目的。
功能作用
你为你的用户配置了通过第三方账号登录的方式,同时你的用户池中已经有一些存量的用户账号。当你完成第三方账号配置后,用户可以通过第三方账号实现更加便捷的登录,你希望确保老用户使用新的登录方式仍旧可以登录到原有的账号上。
用户使用旅程
按照上述步骤开启询问绑定后,当你的用户首次通过这个身份源进行登录时,会经历以下路径(以微信公众号扫码登录为例):
第一步:使用微信公众号扫码
第二步:选择「创建新账号」或者「绑定已有账号」
如果用户选择「创建新账号」,则会跳过账号绑定流程,登录成功直接在 GenAuth 用户池创建新的独立的用户账号;
如果用户选择「绑定已有账号」,则会进入第三步。
第三步:输入需绑定的账号
输入 GenAuth 用户池中已存在的、未绑定其他同种第三方账号(在本例中,即未绑定其他微信),用户即完成账号绑定旅程。
除了在登录时绑定账号之外,你的用户也可以直接在**个人中心**(无论你使用的是 GenAuth 的个人中心或者使用你独立开发的个人中心)进行第三方账号的绑定(也可以自行解绑)。完成绑定后,即可以通过任何一种登录方式(常规的账号密码、第三方账号)登录至同一个账号。
管理员配置步骤
- 在你要使用的身份源配置区找到「账号绑定」,并打开开关
- 选择「询问绑定」
- 选择支持进行绑定的方式(手机验证码、邮箱验证码、账号密码、手机号密码、邮箱密码)
以 Github 为例:
全身份源账号绑定功能支持状态
基于各第三方身份源的限制,当前 GenAuth 的账号绑定的功能实现情况如下表,你可以通过全局搜索的方式找到对应的身份源,以查看当前账号绑定功能的支持状态。
| 身份源名称 | 登录方式 | 是否支持字段匹配 | 通过邮箱匹配 | 通过手机号匹配 | 通过其他字段匹配 | 是否开放询问绑定 |
|---|---|---|---|---|---|---|
| Gitlab(gitlab) | Web | 是 | ✅ | ❌ | ❌ | ✅ |
| 微信(wechat) | PC网页扫码 | ❌ | / | / | / | ✅ |
| 微信(wechat) | 微信网页授权 | ❌ | / | / | / | ⌛️ |
| 微信(wechat) | APP 拉起小程序 | ❌ | / | / | / | ⌛️ |
| 微信(wechat) | 微信移动端 | ❌ | / | / | / | ⌛️ |
| 微信(wechat) | PC 小登录扫码 | ✅ | ❌ | ✅ | ❌ | ⌛️ |
| 微信(wechat) | 微信公众号关注 | ❌ | / | / | / | ✅ |
| 微信(wechat) | 小程序 | ✅ | ❌ | ✅ | ❌ | ⌛️ |
| Github | Web | ✅ | ✅ | ❌ | ❌ | ✅ |
| 企业微信(WeCom) | 企业微信自建应用扫码 | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| 企业微信(WeCom) | 企业微信自建应用扫码(待开发模式) | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| 企业微信(WeCom) | 企业微信服务商应用扫码 | ❌ | / | / | / | ⌛️ |
| 企业微信(WeCom) | 企业微信移动端 | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| 企业微信(WeCom) | 企业饿微信移动端(待开发模式) | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| 飞书(lark) | 飞书应用商店应用 | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| 飞书(lark) | 飞书企业自建应用 | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| Slack | Web | ✅ | ✅ | ❌ | ❌ | ⌛️ |
| 钉钉 | 钉钉 H5 微应用(企业内部开发) | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| Web | ❌ | / | / | / | ⌛️ | |
| Web | ❌ | / | / | / | ⌛️ | |
| Web | ✅ | ✅ | / | / | ⌛️ | |
| 百度 | Web | ❌ | / | / | / | ⌛️ |
| Apple | Web 端 | ✅ | ✅ | / | / | ⌛️ |
| Apple | 移动端 | ✅ | ✅ | / | / | ⌛️ |
| 支付宝 | Web | ❌ | / | / | / | ⌛️ |
| Web | ❌ | / | / | / | ✅ | |
| Web 端 | ✅ | ✅ | ❌ | ❌ | ⌛️ | |
| 移动端 | ✅ | ✅ | ❌ | ❌ | ⌛️ | |
| OAuth 2.0 | Web | ✅ | ✅ | ✅ | ❌ | ✅ |
| OIDC | Web | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| SMAL | Web | ✅ | ✅ | ✅ | ✅(externalId) | ⌛️ |
| CAS | Web | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| LDAP | Web | ✅ | ✅ | ✅ | ✅(username) | ⌛️ |
| Azure AD | Web | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| Windows AD | Web | ✅ | ✅ | ✅ | ✅(username) | ⌛️ |
| Windows AD | Windows 域内免登 | ✅ | ❌ | ❌ | ✅(username) | ⌛️ |
| 青云 QingCloud | Web | ✅ | ✅ | ✅ | ❌ | ⌛️ |
| 新浪微博 | 网页扫码 | ❌ | / | / | / | ✅ |
| Gitee | Web | ✅ | ✅ | ❌ | ❌ | ✅ |
| 网易易顿 | Web | ✅ | ❌ | ✅ | ❌ | ⌛️ |
| Web | ✅ | ✅ | ❌ | ❌ | ⌛️ | |
| Welink | Web | ✅ | ✅ | ❌ | ❌ | ⌛️ |