一、钉钉内跳转至浏览器的实现
-
使用钉钉JSAPI的跳转接口
在钉钉内通过
dd.biz.navigation.openLink方法强制在系统浏览器中打开链接。此方法需在钉钉开发者后台配置应用权限,确保应用具备调用该API的资格37。示例代码:
dd.ready(() => { dd.biz.navigation.openLink({ url: 'https://your-third-party-system.com', title: '第三方系统', onSuccess: () => console.log('跳转成功'), onFail: (err) => console.error('跳转失败:', err) }); }); -
环境判断与兼容性处理
在调用API前需判断当前是否在钉钉环境内(通过
dd.env.platform检测),若在外部浏览器则直接打开链接,避免调用失败。
二、免登录的实现逻辑
-
钉钉免登授权流程
-
获取授权码(Code) :通过
dd.runtime.permission.requestAuthCode获取用户临时授权码code,需传入企业corpId。 -
后端换取用户信息 :将
code发送至后端,结合钉钉的AppKey和AppSecret调用钉钉API换取用户唯一标识userid。 -
生成登录态 :根据
userid生成第三方系统的Token,并通过URL参数或Cookie传递给浏览器打开的页面,实现自动登录。
-
-
单点登录(SSO)集成
若需管理多个系统,可通过统一认证中心(如OAuth2.0或SAML协议)集中处理钉钉的授权码,分发Token至各子系统。例如:
-
华为云方案:通过OneAccess配置钉钉认证源,用户从钉钉工作台点击应用时,直接重定向至浏览器并携带认证后的Token5。
-
自定义SSO服务 :后端服务统一接收
code,验证后生成全局Token,各子系统通过Token验证用户身份。
-
三、多系统统一管理方案
-
集中式认证配置
-
在钉钉开发者后台为每个第三方系统创建独立的"H5微应用",配置对应的
首页地址和回调地址。 -
使用同一套
corpId和AppSecret,通过动态参数区分不同系统(如URL中携带system_id。
-
-
权限与安全控制
-
权限隔离:通过钉钉的"微应用"权限管理,控制不同系统的可见范围。
-
Token加密:使用JWT等加密方式传递用户信息,确保Token不可篡改。
-
定期刷新机制 :设置Token有效期,结合钉钉的
refresh_token实现无感续期。
-
-
异常处理与监控
-
记录跳转和登录失败日志,结合钉钉的
onFail回调进行错误提示。 -
监控Token使用情况,防止泄露或滥用。
-
四、注意事项
-
钉钉环境限制
-
部分API(如
openLink)仅在钉钉客户端内生效,需在外部浏览器中做好兼容提示。 -
确保所有URL均通过HTTPS协议访问,避免被钉钉拦截。
-
-
用户一致性验证
- 浏览器打开的页面需与钉钉内用户身份一致,可通过对比
userid或手机号实现。
- 浏览器打开的页面需与钉钉内用户身份一致,可通过对比
-
测试与调试
-
使用钉钉提供的
ding dev web调试工具模拟跳转流程。 -
在真机测试中验证多端登录的兼容性。
-
五、参考实现架构
钉钉客户端 → 调用JSAPI跳转至浏览器 → 第三方系统URL携带Token
↓
后端认证服务(验证code→生成Token)
↓
多系统统一鉴权(验证Token→返回用户数据)通过上述方案,可实现钉钉内应用跳转浏览器免登录,并支持多系统的统一管理。具体实现需根据业务需求调整认证流程和安全策略。