Aturan dasar
Pengembang yang menggunakan Application Open Platform harus memperhatikan aturan berikut:
Application Open Platform menyediakan sumber daya dan layanan kepada pengembang melalui pemanggilan operasi API di server.
Pengembang hanya dapat membaca dan menulis informasi pengguna setelah mendapatkan izin yang sesuai dari pengguna.
Open Authorization (OAuth) 2.0 digunakan untuk memberikan izin kepada pengembang dalam program mini agar dapat membaca dan menulis informasi pengguna, sehingga pengembang dapat mengakses informasi dasar dan data bisnis pengguna.
OAuth 2.0
OAuth 2.0 adalah spesifikasi yang digunakan untuk otorisasi sumber daya. OAuth mendefinisikan standar yang aman, terbuka, dan sederhana untuk otorisasi sumber daya. Dengan menggunakan OAuth, aplikasi pihak ketiga dapat memperoleh informasi yang diizinkan tanpa perlu mendapatkan akun dan kata sandi pengguna.
OAuth 2.0 adalah kerangka kerja otorisasi delegasi yang digunakan untuk RESTful API.
OAuth 2.0 adalah metode otorisasi berbasis token yang memungkinkan aplikasi memperoleh akses terbatas ke data pengguna tanpa mengekspos kata sandi pengguna.
OAuth 2.0 memisahkan autentikasi dan otorisasi.
Istilah dalam OAuth2.0
Berikut ini adalah istilah yang umum digunakan dalam skenario OAuth 2.0:
Aplikasi Pihak Ketiga: Aplikasi pihak ketiga juga dikenal sebagai klien.
Pemilik Sumber Daya: Pemilik sumber daya adalah pengguna.
Layanan HTTP: Penyedia layanan yang memiliki server sumber daya dan dapat menyediakan informasi pengguna.
Server Otorisasi: Server otorisasi adalah server yang disediakan oleh penyedia layanan untuk memproses otorisasi.
Server Sumber Daya: Server sumber daya adalah server yang digunakan untuk menyimpan sumber daya yang dihasilkan oleh pengguna. Server sumber daya ditempatkan di node logika yang berbeda dari server otorisasi, meskipun keduanya dapat berada di node fisik yang sama.
Agen Pengguna: Dalam banyak kasus, agen pengguna mengacu pada browser.
Kredensial Klien: Kredensial klien adalah ID klien, kata sandi, dan kode otorisasi yang digunakan untuk mengotentikasi pengguna.
Token Akses: Token akses adalah token yang diterbitkan oleh penyedia layanan otorisasi setelah menerima permintaan pengguna.
Token Pembaruan: Anda dapat memperbarui token yang ada untuk mendapatkan token baru. Token kedaluwarsa dalam waktu singkat. Untuk meningkatkan pengalaman pengguna, Anda dapat memperbarui token untuk mendapatkan token baru tanpa proses yang rumit.
Metode yang didukung oleh OAuth 2.0 untuk mendapatkan token
Klien hanya dapat memperoleh token setelah mendapatkan izin yang sesuai dari pengguna.
Pengembang dapat memilih salah satu metode berikut yang ditentukan dalam OAuth 2.0 untuk menerbitkan token ke aplikasi pihak ketiga:
Metode Kode Otorisasi: Metode yang paling umum dan mendukung pembaruan token.
Metode Kode Implisit: Dirancang untuk browser web dan tidak mendukung pembaruan token.
Metode Kata Sandi: Dirancang untuk sistem warisan dan mendukung pembaruan token.
Metode Kredensial Klien: Dirancang untuk layanan API dan tidak mendukung pembaruan token.
Prosedur otorisasi menggunakan OAuth
Dalam skenario program mini, Anda dapat menggunakan metode kode otorisasi untuk memberikan izin pada sumber daya pengguna ke aplikasi pihak ketiga. Metode ini merupakan yang paling umum dan aman dibandingkan dengan metode lainnya. Gambar berikut menggambarkan prosedur untuk memberikan izin pada sumber daya pengguna ke aplikasi pihak ketiga.
Berikut ini adalah peran yang dijalankan oleh layanan dalam program mini berdasarkan OAuth 2.0:
Pemilik Sumber Daya: Pengguna program mini.
Server Sumber Daya: Server Supperapp.
Server Otorisasi: Peran ini dijalankan oleh server Supperapp.
Layanan HTTP: Peran ini dijalankan oleh server Supperapp.
Aplikasi Pihak Ketiga: Program mini pedagang.
Agen Pengguna: Supperapp.
Otorisasi pedagang untuk memanggil operasi API
Gambar berikut menunjukkan cara mengotorisasi pedagang untuk memanggil operasi API.
