DB36_T 1097-2018 政务服务统一身份认证系统接入要求(高清-可复制）

1、ICS35.080L 07DB36江西省地方标准DB 36/ T 10972018政务服务统一身份认证系统接入要求Access requirements of unified identity authentication system for government services2018 - 12 -29 发布2019 -07-01 实施江西省市场监督管理局发 布DB36/T 10972018DB36/T 10972018 PAGE * ROMAN IIIII目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYPERL

2、INK l _bookmark2 范围1 HYPERLINK l _bookmark3 规范性引用文件1 HYPERLINK l _bookmark4 术语和定义1 HYPERLINK l _bookmark5 统一身份认证系统2 HYPERLINK l _bookmark6 统一身份认证业务流程3 HYPERLINK l _bookmark7 应用系统接入流程7 HYPERLINK l _bookmark8 管理与安全要求10 HYPERLINK l _bookmark9 附录 A（规范性附录） 身份核验类接口示例及说明12 HYPERLINK l _bookmark10 附录 B（规范性附

3、录） 单点登录类接口示例及说明13 HYPERLINK l _bookmark11 附录 C（规范性附录） 服务接口调用类接口示例及说明15 HYPERLINK l _bookmark12 附录 D（规范性附录） eID 服务接口示例及说明29 HYPERLINK l _bookmark13 附录 E（规范性附录） 用户表信息及状态码列表31前言本标准按照GB/T 1.1-2009给出的规则编写。本标准由江西省发展和改革委员会提出并归口。本标准主要起草单位：江西省信息中心。本标准主要起草人：金俊平、吴俐、孙杨、李新华、黄振、侯文刚、王云翔、胡坚勇、龚松、占晓华、蔡斌、王建、李美全。引言本标准规

4、定了政务服务统一身份认证系统接入要求，各级政府部门政务服务系统的身份认证通过调用政务服务统一身份认证系统提供的功能服务，实现网上政务服务“一次注册、全网通行”。DB36/T 10972018DB36/T 10972018 PAGE 33 PAGE 34政务服务统一身份认证系统接入要求范围本标准规定了政务服务统一身份认证系统（以下简称统一身份认证系统）的业务流程、接入要求、管理与安全要求。本标准适用于全省各级政府部门政务服务系统（以下简称政务服务系统）。规范性引用文件下列文件对于本文件的应用是必不可少的。分时注明日期的引用文件，仅注明日期的版本适用于本文件。凡是不注明日期的引用文件，其最新版本适

5、用于本文件。“互联网+政务服务”技术体系建设指南 (国办函2016108号)术语和定义下列术语和定义适用于本文件。3.1政务服务系统各级政府部门建设的面向社会公众提供政务服务的门户和业务系统。3.2统一模式政务服务系统通过调用政务服务统一身份认证系统提供的功能服务，完成用户注册和登录认证的方式。3.3协同模式政务服务系统仅通过用户注册调用政务服务统一身份认证系统的实名认证接口，完成实名核验。3.4JS 对象简谱Java Script Object Notation（简称JSON），一种轻量级的数据交换格式。它基于 HYPERLINK /item/ECMAScript ECMAScript (w

6、3c 制定的js规范)的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得JSON成为理想的数据交换语言。易于人阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率。3.5Url Encode一个函数，可将字符串以URL编码，用于编码处理。URL编码(URL encoding)，也称作百分号编码(Percent-encoding)，是特定上下文的统一资源定位符(URL)的编码机制。适用于统一资源标识符(URI)的编码，也用于为application/x-www-form-urlencoded MIME准备数据，因为它用于通过HTTP 的请求操作(re

7、quest)提交HTML表单数据。3.6eID以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络身份标识，能够在不泄露身份信息的前提下在线远程识别身份。统一身份认证系统统一身份认证系统总体接入构架统一身份认证系统总体接入构架示意图见图 1。图1 总体接入架构示意图统一身份认证系统功能定位统一身份认证系统认证服务，由认证服务子系统、信任传递子系统、实名验证服务子系统等组成。统一身份认证系统支持统一模式和协同模式两种对接方式与政务服务系统进行对接。统一身份认证系统应承担以下功能和服务：提供统一身份信息管理，包括用户注册、用户信息查询修改、用户找回等。其中用户注

8、册包括用户直接在统一身份认证系统上注册或在政务服务系统上注册后上传到统一身份认证系统的；提供权威的、统一的身份认证服务，完成用户的登录认证建立登录令牌，并接收政务服务系统登录会话查询与验证，以实现“一次认证、全网通办”；提供统一退出服务；提供信任传递服务，完成跨系统身份认证和单点登录。身份认证方式个人统一身份认证系统中个人身份认证是通过与公安部可信身份平台及第三方等权威机构进行核验，具体方式有支付宝认证、eID认证和身份信息认证。法人统一身份认证系统法人身份认证是通过与省工商部门、省民政部门和省编办等权威机构共享数据进行核验。统一身份认证业务流程用户注册统一身份认证系统注册采用统一模式对接中单

9、点登录方式的政务服务系统，用户使用 PC 端在省统一身份认证系统注册时，具体流程见图 2。图 2 统一身份认证系统登录注册流程示意图采用统一模式对接中调用接口方式的政务服务系统，用户使用PC端在在政务服务系统的注册页面注册时，具体流程见图3。图 3 统一身份认证系统调用接口注册流程示意图政务服务系统注册采用协同模式建设，用户在政务服务系统的注册页面注册，具体流程见图4。图 4 政务服务系统的注册流程示意图登录认证统一身份认证系统登录认证用户在统一身份认证系统登录界面上，或在统一身份认证系统页面入口或通过登录接口进行登录认证时，具体流程见图5。图 5 统一身份认证系统登录认证流程示意图信任传递从

10、统一身份认证系统到政务服务系统从统一身份认证系统到政务服务系统的信任传递时，具体流程见图6。图 6 从统一身份认证系统到政务服务系统信任传递流程示意图政务服务系统A 到政务服务系统 B用户在政务服务系统A登录后，从浏览器中通过收藏夹或直接输入地址访问政务服务系统B时，具体流程见图7。图 7 从政务服务系统 A 到政务服务系统B 信任传递流程示意图统一退出在统一身份认证系统退出用户在统一身份认证系统退出时，具体流程见图8。图 8 从统一身份认证系统退出流程示意图政务服务系统退出用户在政务服务系统退出时，具体流程见图9。图 9 政务服务系统退出流程示意图应用系统接入流程政务服务系统申请接入统一身份

11、认证系统时，具体流程见图 10。图 10 政务服务系统接入流程示意图接入准备申请系统应按以下要求进行准备：政务服务系统应明确本地域名规划和认证服务系统域名规划，明确 IP 地址，制定部署方案， 明确地方和部门系统部署位置，确保服务器部署在安全区域内；制定接入方案，描述对接环境和应用系统，描述接口调用方案，描述 IP 网络拓扑和 IP 地址、域名，描述安全防护方案。云平台、负载均衡设备、CDN 服务应单独详细描述；若政务服务系统有本地用户体系，应保证用户信息应以脱敏方式保存在互联网区、不得使用可逆加密算法保存用户信息。接入申请政务服务系统可向统一身份认证系统正式申请接入。申请时应须提交以下材料：

12、接入方案；第三方应用接入申请表。同时，应包含以下要素： a） 申请单位；b） 申请时间； c） 应用名称； d） 应用名称简称； e） 应用类型； f） 应用域名 URL； g） 授权回调 URL； h） 应用退出 URL； i） 应 用 Logo； j） 应用描述。接入核准主管部门对申请应用系统提供的信息和接入方案进行评测后，核准是否接入，核准以后统一身份认证系统建立以下接入要素：建立申请系统的应用名称、应用名称简称、应用类型，应用域名、回调和退出 URL 等信息列表；配置授权 ID，授权返回的用户信息，共三种方式，分别是不提供、提供和脱敏提供；申请方通过接入规范文档读取服务地址获取包括登录

13、认证服务、票据服务、令牌服务、注册服务、用户信息查询、登出服务消息订阅服务等地址；建立其它必须的信息。接入改造应遵从统一身份认证系统接入要求对本政务服务系统中身份认证相关业务进行需求梳理，明确认证流程，进行系统建设或改造。申请应用系统应选定统一模式或协同模式之中的一种。协同模式建设改造要求政务服务系统仅通过用户注册调用政务服务统一身份认证系统实名认证接口完成实名核验，具体参照附录A。统一模式建设改造要求统一模式下的单点登录方式，用户注册、登录认证、用户管理等功能都由统一身份认证系统完成，政务服务系统通过对接统一身份认证系统完成本地用户注册、登录认证和跨系统信任传递，具体参照附录 B，应符合下列

14、要求：注册、登录、登出和用户找回链接指向到统一身份认证系统；新增获取登录新令牌模块和处理统一退出功能。统一模式下的调用接口方式，政务服务系统用户注册、登录认证、用户管理等功能页面由各系统自己开发，通过接口方式对接统一身份认证系统完成本地用户注册、登录认证和跨系统信任传递，具体参照附录 C，应符合下列要求：完成本系统用户注册、登录认证、用户认证、用户管理的功能的页面开发；通过接口对接统一身份认证系统完成各系统的注册、认证和登录等功能。改造中涉及 eID 服务接口，具体参照附录 D,涉及用户表信息及状态码列表，具体参照附录 E。接入联调接入联调分存量数据上传和功能对接两个步骤。存量数据上传申请应用

15、系统若有本地用户数据，应按以下流程将现有用户数据上传到统一身份认证系统：申请系统按统一身份认证系统数据接口规范中自然人身份信息模型和法人身份信息模型的数据规范，将本系统的存量用户数据进行梳理和打包；存量数据包通过等安全通道将存量数据上传给主管部门；主管部门对上传的用户数据进行入库处理；主管部门对冲突数据进行处理。对账号数据冲突按以下原则进行处置：统一身份认证系统账号不存在时，保留第一条信息为统一身份认证系统账号信息；统一身份认证系统在用户主账号下，为每个信息单独留存一份信息。联合调试省平台进行存量数据处理，双方联合测试。接入开通联调完成后，完成接入工作，接入应用系统开通相应功能。管理与安全要求

16、基本要求政务服务系统应建立专职的运行维护组织，建立运行维护岗位责任制度，保障系统安全运行。政务服务系统应制定应急预案，对突发事件进行应急处置。政务服务系统应保证网络设备、主机设备、应用系统、数据库系统的日志输出，日志存留时间应不小于 90d。政务服务系统应定期清理核对用户数据和系统数据。定期检查政务服务系统应定期组织安全检查，自查并出具检查表；定期对运行状态进行检查，防微杜渐。主管部门将对各接入系统进行定期检查和不定期抽查，检查本规范的符合程度。对不满足规范要求的系统，可暂停服务、限期整改。附 录 A（规范性附录）身份核验类接口示例及说明A.1 身份核验身份核验接口表见表A.1。表 A.1 身

17、份核验接口表服务名称/user/getIdentityCheckResult.do服务说明个人身份核验请求方式POST参数列表参数名称参数说明realname姓名idcard身份证号码client_id业务系统授权密钥返回值success: true, msg:认证成功,data: ,code:返回值附 录 B（规范性附录）单点登录类接口示例及说明验证登录获取ticket接口验证登录获取ticket接口表见表B.1。表 B.1 验证登录获取 ticket 接口表服务名称/auth2/authorize.do服务说明判断用户是否登录、返回 ticket请求方式GET参数列表参数参数说明redir

18、ect_uri用户访问目标地址client_id业务系统授权密钥返回值返回 ticket 和 redirect_uri备注获取用户信息接口获取用户信息接口见表B.2。表 B.2 获取用户信息接口表服务名称/auth2/validationTicket.do服务说明单点登录时验证 ticket 的合法性，返回用户信息请求方式POST参数列表参数名称参数说明表 B.2 获取用户信息接口表（续）ticket待校验的票据clientId业务系统授权密钥返回值success: true, msg: 调用成功,data:id:adfadafls12321df,username:gr8888,realnam

19、e:”张*”,code: 返回值备注用户退出接口用户退出接口见表B.3。表 B.3 用户退出接口表服务名称/auth2/informLogOut.do服务说明用户退出请求方式GET参数列表参数名称参数说明client_id业务系统授权密钥附 录 C（规范性附录）服务接口调用类接口示例及说明用户注册接口用户注册接口见表C.1。表 C.1 用户注册接口表服务名称/user/register.do服务说明用户注册请求方式POST参数列表参数参数说明accesstokenusertype用户类型，0：个人 1：法人userInfoJson 格式字符串的用户信息返回值success: true, msg

20、: 保存成功,data: ,code: 返回值用户登录接口用户登录接口见表C.2。表 C.2 用户登录接口表服务名称/user/login.do服务说明用户登录，返回用户临时票据请求方式POST表 C.2 用户登录接口表(续)参数列表参数名称参数说明usertype用户类型 0：个人 1：法人client_id业务系统授权密钥username用户名（用户类型为个人时，包括用户名、手机号、身份证号；用户类型为法人时，包括用户名和统一社会信用代码）password用户密码client_id业务系统授权密钥返回值success: true, msg: 操作成功,data:2813c058cc5643

21、32af744fa0112f99ee, code: 返回值备注利用返回的临时票据，调用 验证 ticket 合法性、获取用户信息接口，具体参考表 6，其接口地址为/auth2/validationTicket.do修改用户密码接口修改用户密码接口见表C.3。表 C.3 修改用户密码接口表服务名称/user/userUpdatePassword.do服务说明修改用户密码请求方式POST参数列表参数名称参数说明accesstoken表C.3 修改用户密码接口表（续）usertype用户类型 0：个人 1：法人userInfooldpassword:111111,newp assword:wisof

22、t oldpassword 为原密码 ，newpassword 为新密码userid用户 ID返回值success: true, msg: 操作成功,data: ,code: 返回值修改用户信息接口修改用户信息接口见表C.4。表 C.4 修改用户信息接口表服务名称/user/updateUserInfo.do服务说明修改用户信息请求方式POST参数列表参数名称参数说明accessTokenusertype用户类型 0：个人 1：法人userid用户 idupdateInfo封装更新字段返回值success: true, msg: 操作成功,data: ,code: 返回值重置用户密码接口重置用

23、户密码接口见表C.5。表 C.5 重置用户密码接口表（法人需 userid）服务名称/user/resetPassword.do服务说明重置用户密码请求方式POST参数列表参数名称参数说明usertype用户类型 0：个人 1：法人resetInfo重置密码信息返回值success: true, msg: 操作成功,data: ,code: 返回值表 C.5 重置用户密码接口表（法人无需 userid）服务名称/user/resetPasswordNoId.do服务说明重置用户密码请求方式POST参数列表参数名称参数说明client_id业务系统授权密钥usertype用户类型 0：个人 1：

24、法人resetInfo重置密码信息表 C.5 重置用户密码接口表（法人无需 userid）（续）返回值success: true, msg: 操作成功,data: ,code: 返回值获取个人用户名手机号和邮箱地址接口获取个人用户名手机号和邮箱地址接口见表C.6。表 C.6 获取个人用户名手机号和邮箱地址接口表服务名称/user/getUserPhoneAndEmail.do服务说明获取个人用户名手机号和邮箱地址请求方式POST参数列表参数名称参数说明username用户名或手机号或身份证号client_id业务系统授权密钥返回值success: true, msg: 操作成功,data: p

25、honenumber: email: HYPERLINK mailto: ,code: 返回值发送手机验证码接口发送手机验证码接口见表C.7。表 C.7 发送手机验证码接口表服务名称/user/sendCheckCode.do服务说明发送手机验证码表 C.7 发送手机验证码接口表（续）请求方式POST参数列表参数名称参数说明phonenumber用户手机号号码client_id业务系统授权密钥返回值验证手机验证码接口验证手机验证码接口见表C.8。表 C.8 验证手机验证码接口表服务名称/user/checkCode.do服务说明验证手机验证码请求方式POST参数列表参

26、数名称参数说明phonenumber用户手机号号码code手机验证码client_id业务系统授权密钥返回值success: true, msg: 验证成功,data: true,code: 返回值获取用户是否存在接口获取用户是否存在接口见表C.9。表 C.9 获取用户是否存在接口表服务名称/user/getUserExist.do服务说明获取用户是否存在请求方式POST参数列表参数名称参数说明username用户名（用户类型为个人时，可以为用户名或手机号或身份证号）usertype用户类型 0：个人 1：法人client_id业务系统授权密钥返回值success: true, msg: 操作

27、成功,data: ,code: 返回值法人信息身份验证接口法人信息身份验证接口见表C.10。表 C.10 法人信息身份验证接口表服务名称/user/checkFrInfo.do服务说明法人信息身份验证请求方式POST参数列表参数名称参数说明qyname企业名称qynumber社会统一信用代码frname法人姓名fridcard法人身份证号码表 C.10 法人信息身份验证接口表（续）client_id业务系统授权密钥返回值success: true, msg: 操作成功,data: ,code: 返回值找回用户名接口找回用户名接口见表C.11。表 C.11 找回用户名接口表服务名称/user/f

28、indUserName.do服务说明找回用户名请求方式POST参数列表参数名称参数说明usertype用户类型，0：个人 1：法人realname(法人)姓名idcard(法人)身份证号码qyname企业名称qynumber社会统一信用代码phail手机号/电子邮箱client_id业务系统授权密钥返回值success: true, msg: 操作成功,data: ,code: 返回值上传身份照片接口上传身份照片接口见表C.12。表 C.12 上传身份照片接口表服务名称/user/uploadIdcardImg.do服务说明上传身份照片请求方式POST参数列表参数名称参数说明file上传图片

29、base64 编码userid用户 idpictype上传图片类型：1，正面身份证；2，反面身份证；3，手持身份证client_id业务系统授权密钥返回值success: true, msg: 操作成功,data: ,code: 返回值eID登录接口eID登录接口见表C.13。表 C.13 eID 登录接口表服务名称/user/eIDLogin.do服务说明eID 登录请求方式POST参数列表参数名称参数说明version请求协议的版本号（目前为1.0.0）表 C.13 eID 登录接口表（续）appid请求服务的第三方应用标识，预分配的固定标识（与代码示例一致）return_url用于返回认

30、证结果的 url,并更新认证状态（与代码示例一致）return_id请求方自定义的标识，用于区分不同的请求结果返回值success: true, msg: 操作成功,data: d785c99d298a4e9e6e13fe99e602ef42, code: 返回值修改姓名和身份证号接口修改姓名和身份证号接口见表C.14。表 C.14 修改姓名和身份证号接口表服务名称/user/updateRealNameAndIdcard.do服务说明修改姓名和身份证号请求方式POST参数列表参数名称参数说明accesstokenrealname用户姓名idcard用户身份证号userid用户 ID返回值su

31、ccess: true, msg: 操作成功,data: ,code: 返回值修改用户密码接口修改用户密码接口见表C.15。表 C.15 修改用户密码接口表服务名称/user/userUpdatePassword.do服务说明修改用户密码请求方式POST参数列表参数名称参数说明accesstokenusertype用户类型 0：个人 1：法人userInfooldpassword:111111,newp assword:wisoft oldpassword 为原密码，newpassword 为新密码userid用户 ID返回值success: true, msg: 操作成功,data: ,co

32、de: 返回值身份证认证身份证认证接口见表C.16。表 C.16 身份证认证接口表服务名称/user/updateIdentification.do服务说明个人身份认证请求方式POST参数列表参数参数说明表 C.16 身份证认证接口表（续）username用户名idcard用户身份证realname用户姓名client_id业务系统授权密钥返回值success: true, msg: 操作成功,data: ,code: 返回值备注eID认证接口eID认证接口见表C.17。表 C.17 eID 认证接口表服务名称/user/getEidRealNameVerifyData.do服务说明eID 认

33、证请求方式POST参数列表参数名称参数说明version请求协议的版本号（目前为 1.0.0）user_id_info实名信息“name”:“张三”,“idnum “:,“idtype”:“01”,“client_id”: “53405htgstiqewyqwo9023ojdo8u0 ” name 是姓名，idnum 是证件号码， idtype 是证件类型，client_id 是业务系统授权密钥表 C.17 eID 认证接口表（续）appid请求服务的第三方应用标识，预分配的固定标识（与代码示例一致）return_url用于返回认证结果的 url,并更新

34、认证状态（与代码示例一致）return_id请求方自定义的标识，用于区分不同的请求结果返回值success: true, msg: 操作成功,data: ,code: 返回值备注获取支付宝认证二维码接口获取支付宝认证二维码接口见表C.18。表 C.18 获取支付宝认证二维码接口表服务名称/user/getQRCodeInfo.do服务说明支付宝认证，生成二维码请求方式POST参数列表参数名称参数说明username用户名realname用户姓名idcard用户身份证client_id业务系统授权密钥表 C.18 获取支付宝认证二维码接口表（续）返回值success: true,msg: 请 用

35、 手 机 扫 描 二 维 码 ， 进 行 认 证 , data:certification/getZfbUrl.do?biz_no=biz_256981000000446432325, code: biz_256981000000446432325获取支付宝认证结果接口获取支付宝认证结果接口见表C.19。表 C.19 获取支付宝认证结果接口表服务名称/user/getQRCodeInfoResult.do服务说明使用支付二维码扫描，获取支付宝认证结果时使用请求方式POST参数列表参数名称参数说明bizcode支付宝用户标识码client_id业务系统授权密钥返回值success: true,

36、msg: 认证成功,data:true,code: 返回值附 录 D（规范性附录）eID 服务接口示例及说明eID登录接口eID登录接口见表D.1。表 D.1 eID 登录接口服务名称eid/eidLogin服务说明完成 eid 登录请求方式POST参数列表参数参数说明version1.0.0return_url返回结果的 urlappid需要接入方申请后分配一个appid 作为参数biz_sequence业务流水号telnumber用户手机号码返回值biz_sequence:业务流水号 appeidcode:用户的appeidcode， version:服务器端版本号, biz_time:业

37、务完成时间，result:结果表 D.1 eID 登录接口（续）备注应该从浏览器收集数据后，将数据返回服务器，再将参数加密后在服务器端通过POST 发起请求；不应该直接从浏览器页面发起请求。返回信息使用了 urlencode 加密（uft-8）用户登录成功时，appeidcode 为用户在系统中绑定的 appeidcode，用于确定用户在系统中的身份；result 为00。用户登录失败时，appeidcode 为空；result 为非00的值。eID编码生成接口eID编码生成接口见表D.2。表 D.2 eID 编码生成接口服务名称/eid/getEIDCode服务说明根据用户信息生成用户的 a

38、ppeidcode请求方式GET参数列表参数名称参数说明version1.0.0return_url返回结果的 urlappid需要接入方申请后分配一个appid 作为参数biz_sequence业务流水号name用户姓名idnum身份证client_id业务系统授权密钥返回值biz_sequence:业务流水号 appeidcode:用户的appeidcode， version:服务器端版本号, biz_time:业务完成时间，result:结果备注应该从浏览器收集数据后，将数据返回服务器，再将参数加密后在服务器端通过POST 发起请求；不应该直接从浏览器页面发起请求。返回信息使用了 url

39、encode 加密（uft-8）用户认证成功时，返回用户的 appeidcode；result 为00。用户登录失败时，appeidcode 为空；result 为非00的值。附 录 E（规范性附录）用户表信息及状态码列表个人信息表个人信息表见表E.1。表 E.1 个人信息表字段名称字段描述是否为空ID用户 ID否USERNAME用户名否PASSWORD密码否REALNAME真实姓名是IDCARD身份证号码是PHONENUMBER手机号码否EMAIL电子邮箱否ADDRESS地址是STATUS状态,0：禁用;1：启用;2：删除否SFSMRZ是否实名验证认证，1:为实名认证，0:为未实名认证，2：认证请求已提交否SFSWRY是否为省外人员，1:为省外人员，0:为省内人员否SFCJFRZH是否创建法人账号 0：未关联 1 ：关联是ZHZDSC账号是否自动生成，1:为自动生成，0:为手动生成否REGISTERTIME注册时间是UPDATETIME更新时间否LASTLOGINTIME最后登录时间否OPENID开放 ID是SJLY数据来源 0：本系统;1：外