背景説明
開発者がさまざまなシナリオでの ID 認証メカニズムを明確に理解できるよう、本ドキュメントでは DingTalk オープンプラットフォームがサポートする 4 種類のアクセストークンとその適用対象、権限スコープ、使用方法を体系的にご説明します。また、完全な操作フローガイドと重要な注意事項を提供し、開発者が API 呼び出しの準備を正確かつ効率的に完了できるようにします。権限説明
DingTalk オープンプラットフォームは、安全性と柔軟性を両立させながら、2 種類の権限モデルでアプリのリソースアクセス制御を管理します。どの権限タイプを使用して DingTalk OpenAPI を呼び出す場合でも、まず対応する権限タイプのアクセストークンを取得する必要があります。
タイプ 1:ユーザー ID アクセス認証情報
- 定義:ユーザー ID アクセス認証情報(委任権限)。ユーザーによる権限付与後、アプリがログインユーザーを代表して DingTalk OpenAPI を呼び出し、リソースを操作します。
-
特徴:
- ユーザーが主体的に権限を付与し、アプリが個人データへアクセスすること、または代理での操作実行に承認する必要があります。
- API 呼び出し時にはユーザーの
accessTokenを使用し、操作結果はユーザー権限の範囲内に制限されます。 - 個人の予定や個人の電話番号の読み取りなど、ユーザーのプライベートデータに関わるシナリオに適しています。
タイプ 2:アプリ ID アクセス認証情報
- 定義:アプリ ID アクセス認証情報(アプリ権限)。アプリ ID アクセス認証情報は、ユーザーログインを必要としないアプリケーションに適しています。アプリのインストール時に、管理者があらかじめ権限を付与できます。
-
特徴:
- アプリはユーザー ID とは独立して API を呼び出し、組織レベルのリソースへ直接アクセスできます。
- 社内アプリまたはサードパーティアプリの
accessTokenを使用します。 - バックグラウンドタスク、バッチ処理、自動化運用などのシナリオに適しています。
アクセス認証情報 accessToken
アクセス認証情報(アクセストークン)は DingTalk オープンプラットフォームによって発行され、呼び出し元の ID 情報を検証し、呼び出し元が実行する操作の権限を持っていることを保証します。 DingTalk オープンプラットフォームは現在、さまざまなアプリケーションシナリオと権限階層に対応する以下の 4 種類のアクセストークンを提供しています。アクセス認証情報 accessToken の使用方法
DingTalk OpenAPI を呼び出すには、アクセストークンを Bearer トークンとして HTTP リクエストの Authorization ヘッダーに付加します。例:- ログインユーザーのアクセス認証情報を取得:ログインユーザーのアクセス認証情報を取得のドキュメントチュートリアルをご参照ください。
- 非ログインユーザーのアクセス認証情報を取得:アプリの API アクセス認証情報を取得のドキュメントチュートリアルをご参照ください。