7.统一身份认证系统对接规范.doc

ICS35.200L65DB36江西省地方标准DB36/TXXXX—XXXX统一身份认证系统对接规范DockingSpecificationforUnifiedIdentityAuthenticationPlatform201X-XX-XX发布201X-XX-XX实施江西省质量技术监督局发布I目录前言..............................................................................II引言.............................................................................III1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14统一身份认证系统.....................................................................5江西省统一身份认证系统建设规范......................................................5附录A（规范性附录）身份核验类接口示例及说明.......................................10附录B（规范性附录）单点登录类接口示例及说明.......................................11附录C（规范性附录）服务接口调用类接口示例及说明...................................13附录D（规范性附录）eID服务接口示例及说明.........................................27附录E（规范性附录）用户表信息及状态码列表.........................................30II前言本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》的规定编写。本标准由江西省发展和改革委员会提出并归口。本标准主要起草单位：江西省信息中心。本标准主要起草人：金俊平、吴俐、孙杨、李新华、黄振、王云翔、侯文刚、胡坚勇、龚松、占晓华。III引言为进一步明确全省政务服务实名认证项目建设工作，科学、规范地指导全省各市、县（区）政务服务网用户体系的对接，特制定此规范。本规范是规定了江西省统一身份认证系统对接标准规范。本规范用以江西省统一身份认证系统接口规范化和资源共享化，实现省、市、县（区）分政务服务网和江西省统一身份认证系统的的无缝对接。1统一身份认证系统对接规范1范围本标准规定了江西省统一身份认证系统的总体架构、建议方式、接入流程和建设规范。本标准适用于指导各级（省、市、县区）政务服务统一身份认证系统建设工作的规划、制定、修订、应用与管理等工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。分时注明日期的引用文件，仅注明日期的版本适用于本文件。凡是不注明日期的引用文件，其最新版本适用于本文件。《“互联网+政务服务”技术体系建设指南》(国办函108号)3术语和定义下列术语和定义适用于本文件。3.1JS对象简谱JavascriptobjectnotationJSON(JavaScriptObjectNotation,JS对象标记)是一种轻量级的数据交换格式。它基于ECMAScript(w3c制定的js规范)的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得JSON成为理想的数据交换语言。易于人阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率。3.2HTTP传输协议http是标准超文本传输协议。使用对参数进行编码并将参数作为键值对传递，还使用关联的请求语义。每个协议都包含一系列HTTP请求标头及其他一些信息，定义客户端向服务器请求哪些内容，服务器用一系列HTTP响应标头和所请求的数据进行响应。HTTP-GET使用MIME类型application/x-（将追加到处理请求的服务器的URL中）以URL编码文本的形式传递其参数。URL编码是一种字符编码形式，可确保传递的参数中包含一致性文本，例如将空格编码为20%，其它符号转换为%XX,其中XX为该符号以16进制表示的ASCII（或ISOLatin-1）值。追加的参数也称为查询字符串;HTTP-POST参数也是URL编码的，但是，键/值对是在实际的HTTP请求消息内部传递的，而不是作为URL的一部分进行传递。3.32HTTPS传输协议HTTPS（全称：HyperTextTransferProtocoloverSecureSocketLayer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URIscheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司(Netscape)进行，并内置于其浏览器NetscapeNavigator中，提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯。3.4UrlEncodeUrlEncode是一个函数，可将字符串以URL编码，用于编码处理。URL编码(URLencoding)，也称作百分号编码(Percent-encoding)，是特定上下文的统一资源定位符(URL)的编码机制。适用于统一资源标识符(URI)的编码，也用于为application/x-准备数据，因为它用于通过HTTP的请求操作(request)提交HTML表单数据。3.5电子政务外网电子政务外网（政务外网）是政府的业务专网，主要运行政务部门面向社会的专业性业务和不需要在内网上运行的业务。电子政务外网和互联网之间逻辑隔离。4统一身份认证系统4.1总体构架3图1江西省统一身份认证系统技术架构图4.2接入流程应用申请申请单位首先需要向江西省省信息中心提出申请，具体申请流程图如图4所示，填写表1信息，成功之后由承建单位开发对接负责人进行提供以下信息：表1应用申请单表格应用名称（必填）为中文名，应用名称要明确，需使用与应用功能相关的词汇，不能是日常通用性的描述词汇，不得出现测试test等宽泛字样；应用名称简称（必填）为中文名，应用名称的简称，方便应用在页面上显示；应用类型（必填）包括单点登录、移动应用和其他应用域名URL（必填）从政务服务网进入应用的链接地址（单点登录总入口），例如：；授权回调URL（必填）接收用户中心消息的回调链接地址，用于单点登录。例如：；应用退出URL（必填）接入系统登出时，统一认证系统会调用所有接入系统退出地址，完成单点登录退出功能。例如：；4应用Logo（必填）图片尺寸建议为140px*140px应用描述（选填）简要描述应用功能，用于推荐宣传使用选择返回的用户信息，共三种方式，分别是不提供、提供和脱敏提供。a)不提供：第三方接入系统获取用户信息时，不提供用户信息的属性值；b)提供：第三方接入系统获取用户时，完全提供用户信息属性值；c)脱敏提供：第三方接入系统获取用户时，提供部分隐藏的用户信息属性值。供选择的用户信息属性有个人用户名、个人用户姓名、个人用户身份证号、个人用户性别、个人用户手机号、个人用户邮箱、个人用户地址、个人用户是否认证、个人用户注册时间、法人用户名、法人用户企业名称、法人用户企业类型、法人机构统一社会代码、法人姓名、法人身份证号、企业地址、法人账号是否实名认证、企业成立日期、企业状态、法人账号注册时间。用户属性选择项如图所示。图2用户属性选择项3．完成申请，通过审核后江西省省信息中心会给申请单位授权client_id，申请单位凭借client_id接入江西省统一身份认证系统，具体操作参照江西省统一身份认证系统接口规范。5图3应用接入业务流程图5江西省统一身份认证系统建设规范5.1工作要求江西省统一身份认证系统软件开发采购项目采用先进信息技术，解决系统建设中的关键技术问题，确保系统的先进性、标准规范性、安全稳定性和易管理性。应紧密结合各应用子集建设现状，有效利用既有投资，紧扣政府部门科学决策、高效联动、精细化服务的业务需求，以及社会公众对公共服务的多层次、多元化的需求，在保证系统先进性、标准性的同时，又不失实用性、灵活性以及可扩展性。为政府的应用系统提供安全、方便、稳定的统一授权和认证系统，使办事人员（公众、企业人员）只使用一套帐号和密码就可以登陆所有授权的系统，让自己有多套帐号且容易忘记自己密码的时代成为历史。对于新开发应用系统不用再开发用户管理和权限管理功能，为政府部门节省后期新信息系统开发费用，减少投入成本。为第三方开发单位减轻信息系统开发难度，不用再考虑用户管理。5.2接口主要功能江西省统一身份认证系统数据接口主要包括以下功能：——-身份认证；6——-单点登录；——-服务接口调用；——-eID身份服务。5.3身份核验系统提供完善的用户信息认证功能，满足不同应用场景的用户信息认证要求，为增加调用接口返回数据的易读性，统一格式为标准JSON格式，以保障系统间正常数据抓取。接口内容身份核验。调用流程身份核验能够对用户进行身份认证，接口调用方调用身份核验接口来进行身份认证。如图5所示接口调用方调用接口参入认证信息参数发送认证请求；系统接受认证请求后解析相关参数，核验身份信息，获取认证数据；将返回信息组装编码后返回。图4身份核验接口调用流程5.4单点登录各级系统与省统一身份认证系统在统一管理和授权下建立信任关系。以嵌入省级互联网政务服务门户用户注册和验证页面的形式，实现面向省内各级互联网政务服务门户、政务服务管理系统及业务办理系统的单点登录。接口调用内容步骤a)验证用户是否登录、获取ticket；b)验证ticket合法性、获取用户信息；c)用户退出。调用流程7单点登录实现一处登录多处使用，单点登录完整的流程。如图6所示。图5单点登录接口调用流程a)应用接入方按照要求申请应用接入，成功后获取clinet_id；b)应用接入方调用验证用户是否登录，带上client_id和redirect_url；c)系统接受应用系统请求后，判断用户是否登录；d)如果用户未登录，跳转到用户登录界面，如果用户登录，生成ticket返回应用接入系统；e)应用接入系统调用验证ticket合法性、获取用户信息接口，验证获取用户信息；f)系统接受接收到请求后，验证ticket的合法性，ticket验证成功，返回用户信息，验证失败，不返回用户信息。5.5服务接口调用接口内容步骤a)用户注册；b)用户登录；c)修改用户密码；d)修改用户信息；e)重置用户密码（法人需userid）；f)重置用户密码（法人无需userid）；8g)获取个人用户名手机号和邮箱地址；h)发送手机验证码；i)验证手机验证码；j)获取用户是否存在；k)法人信息身份验证；l)找回用户名；m)上传身份照片；n)eID登