第三方接入“小应账号快捷登录”前,必须先联系小应官方技术支持人员完成开发者主体注册、客户端注册和接入信息维护。
注册完成后,小应官方技术支持人员会向第三方交付:
| 配置 | 示例 | 说明 |
|---|---|---|
issuer | https://api.xiaoying.life/oidc | 小应账号快捷登录 issuer。 |
client_id | xyc_... | 第三方应用 ID。 |
client_secret | xys_... | token endpoint 客户端认证密钥。 |
redirect_uri | https://third.example/auth/xiaoying/callback | 已登记的精确回调地址。 |
scope | openid profile | 接入使用的固定 scope。 |
下一步阅读:登录按钮展示规范。
第三方需要提供的信息
申请接入或变更配置时,第三方需要提供的信息应与主体和客户端注册字段一致:
| 信息 | 要求 |
|---|---|
开发者主体标识 name | 必填。用于标识第三方主体,建议使用稳定、可读、不会频繁变化的英文或拼音标识。 |
开发者主体展示名称 displayName | 必填。展示给用户看的第三方主体名称。 |
开发者主体备注 remark | 可选。用于补充主体说明。 |
应用名称 displayName | 必填。展示给用户看的应用名称,建议使用用户能识别的产品或功能名称。 |
官网地址 homepageUrl | 可选。用于展示应用来源。 |
Logo URL logoUrl | 可选。用于展示应用图标。 |
Redirect URI 列表 redirectUris | 必填。必须精确填写;生产环境必须使用 HTTPS。 |
授权范围固定为 openid profile。启用状态、client_id 和 client_secret 由小应官方技术支持人员维护和交付,不作为第三方申请信息填写。
Redirect URI 规则
- 禁止通配符。
- 禁止后缀匹配。
- 生产环境必须 HTTPS。
- 测试环境的 HTTP 回调地址必须提前提供并由小应官方技术支持确认。
- 一个客户端的 redirect URI host 建议保持一致;多 host 场景建议按多个客户端接入。
- 精确匹配包含 scheme、host、port、path、query 和末尾斜杠差异。
redirect_uri不应包含 fragment。
配置含义
- 应用名称、Logo URL、官网 URL 用于向用户展示应用身份。
client_id是协议层应用 ID,由小应分配;不要把应用名称填成client_id。client_secret是服务端密钥,只用于 token endpoint 客户端认证。redirect_uri是第三方接收授权结果的回调地址,必须由小应官方技术支持人员登记后才能使用。
交付后的检查
收到配置后,第三方应确认:
issuer是否为https://api.xiaoying.life/oidc。redirect_uri是否与第三方服务端实际回调地址完全一致。client_secret是否只保存在服务端密钥系统或环境变量中。- 登录入口是否使用官方推荐文案“小应账号快捷登录”。