1 简介 

API认证：第三方系统连接苍穹时，需要调用金蝶云苍穹开放平台的API服务接口。金蝶云苍穹会对每个API请求进行身份认证的校验，判断其请求的合法性，最后响应该API请求。

2 适用范围

本文档适用于所有第三方应用登录认证金蝶云苍穹并调用API服务

3 认证方式说明

金蝶云苍穹目前共支持三种认证方式，分别是accessToken 认证、JWT认证和摘要认证，不同的认证方式各有特点，用户可以根据具体的安全需求，选择合适的方式。

 

 

备注：当前苍穹界面字段名称现已更新，若版本号为COSMICV4.0.003.0及以下，与开放平台最新版本第三方应用界面的字段对应关系如下：

字段名称（旧）	字段名称（新）	字段说明
系统密码	AccessToken加密认证密钥	即第三方app的密码
对称加密秘钥	摘要加密认证密钥	摘要加密认证key
JWT非对称秘钥	JWT加密认证密钥	Jwt生成签名的密钥secret

4 认证方式比较

Access Token认证、JWT认证和摘要加密认证都可以用于API使用的认证。但是3者应用的场景可能不一样。对于仅仅第三方应用调用苍穹API的情况，3种认证方式都可以满足，但是如果要从第三方系统免密跳转到苍穹的话，目前只有Access Token认证支持。对于Access Token认证来说，需要在第三方应用客户端管理appToken和Access Token的生命周期。而JWT方式和摘要加密认证方式则不需要。同时JWT还需要获取JWT字符串，而加密摘要则不要提前和苍穹交互。对于Access Token和JWT方式需要用appId和appSecret获取，appSecret需要配置后在网络上传输，而摘要加密认证就不需要，所以从安全性考虑的话，摘要加密认证相比要高些。

对于适用API的调用，推荐使用摘要加密认证。

                                            3种认证方式的比较表

	适用性	安全性	第三方系统Token生命周期管理
AccessToken认证	适用API，免密跳转	一般	需要
JWT认证	适用API	较高	不需要
摘要加密认证	适用API	高	不需要

5 场景举例

需求：某家公司购买了苍穹系统，同时自家还有一个OA系统。客户为了使用方便，想要把OA和苍穹集成在一起，OA系统可以通过调用苍穹的API获取一些数据。那么问题来了，现场开发