概念

說明

用戶

用戶需要登錄到阿里云并授權應用訪問阿里云資源。用戶可以是阿里云賬號（主賬號）、RAM用戶和RAM角色。

阿里云OAuth 2.0服務

阿里云OAuth 2.0服務對用戶進行認證，并接受用戶對應用的授權，生成代表用戶身份的令牌并返回給被授權的應用。

OAuth應用

使用OAuth應用獲取用戶授權，并獲取代表用戶身份的令牌，從而可以訪問阿里云。

阿里云OAuth 2.0服務支持以下幾種類型的應用：

• WebApp：指基于瀏覽器交互的網絡應用。

• NativeApp：指操作系統中運行的本地應用，主要為運行在桌面操作系統或移動操作系統中的應用。

• ServerApp：指直接訪問阿里云服務，而無需依賴用戶登錄的應用。目前僅支持基于SCIM協議的用戶同步應用。

按照應用的歸屬，可以將應用分為以下幾種：

• 企業應用：您自己開發的應用，需要通過OAuth 2.0服務獲取用戶的阿里云身份。

• 第三方應用：您授權的其他人開發的應用，用于獲取您的阿里云身份。

OAuth范圍

OAuth 2.0服務通過OAuth范圍來限定應用扮演用戶登錄阿里云后可以訪問的范圍。支持的范圍如下：

• openid：用于獲取用戶的OpenID（默認權限范圍，不可移除）。

  說明

  獲取到的OpenID是一個可以唯一代表用戶的字符串，但并不包含阿里云UID、用戶名等信息。如果需要這些信息，需要使用aliuid、profile等權限范圍。

• aliuid：用于獲取阿里云UID。

• profile：用于獲取用戶名稱等個人信息。

• /acs/ccc：用于訪問阿里云呼叫中心服務API。

• /acs/alidns：用于訪問阿里云解析API。

• /acs/scim：用于訪問阿里云跨域身份管理服務。

• /acs/digitalstore：用于訪問數字化門店（Digital Store）。

• /acs/scsp：用于訪問智能客服平臺（Smart Customer Service Platform）。

• /acs/cloudgame：用于訪問云游戲平臺（Cloud Gaming Platform）。

• /acs/aiccs：用于訪問智能聯絡中心。

• /acs/cloudesl：阿里云價簽服務API。

• /acs/alimt：機器翻譯服務的訪問權限。

令牌

OAuth 2.0服務可以給應用下發代表登錄用戶的令牌。

• 身份令牌：包含用戶的身份信息，不能用于訪問阿里云資源。

• 訪問令牌：包含用戶的身份信息以及應用的OAuth范圍，可以用于訪問OAuth范圍內的阿里云資源。

• 刷新令牌：用于換取新的訪問令牌。

阿里云API

應用通過調用API可以訪問相應資源。

參數名稱

定義

示例

需要的OAuth范圍

exp

令牌過期時間戳。

1517539523

openid

sub

唯一代表登錄用戶的字符串，但并不包含阿里云UID、用戶名等信息。

123456789012****

openid

aud

令牌接收者，OAuth應用ID。

4567890123456****

openid

iss

令牌頒發者。取值為https://oauth.aliyun.com。

https://oauth.aliyun.com

openid

iat

令牌頒發時間戳。

1517533200

openid

aid

登錄用戶所屬的阿里云賬號（主賬號）ID。

177242285274****

aliuid

uid

登錄用戶的ID。取值：

• 阿里云賬號（主賬號）：阿里云賬號（主賬號）ID，與aid相同。

• RAM用戶：RAM用戶ID。

• RAM角色：RAM角色ID。

20124982101502****

aliuid

type

登錄用戶類型。取值：

• account：阿里云賬號（主賬號）

• user：RAM用戶。

• role：RAM角色

user

profile

login_name

阿里云賬號（主賬號）的登錄名稱。

Alice

profile

upn

RAM用戶的登錄名稱。

Bob@examplecompany.onaliyun.com

profile

name

登錄用戶名稱。取值：

• RAM用戶：RAM用戶的顯示名稱。

• RAM角色：<RoleName:RoleSessionName>。

Bob

profile