Cập nhật lần cuối: 29/03/2024
1. Giới thiệu về Access Token
1.1 Vai trò của Access Token
Access token đóng vai trò quan trọng trong việc bảo mật API của Lark Open Platform. Nó giúp:
- Xác thực danh tính người gọi API
- Xác định quyền hạn truy cập
- Kiểm soát việc truy cập dữ liệu và tài nguyên của ứng dụng
1.2 Tầm quan trọng của Access Token
Access token là chìa khóa để:
- Truy cập Lark Open Platform
- Liên kết danh tính người gọi với quyền truy cập
- Cho phép ứng dụng thực hiện các thao tác đọc và ghi trên tài nguyên
2. Các loại Access Token
Lark Open Platform cung cấp ba loại access token chính:
2.1 tenant_access_token
- Yêu cầu ủy quyền: Không
- Mục đích: Thực hiện các thao tác thay mặt cho tenant (doanh nghiệp hoặc nhóm)
- Tiền tố:
t- - Ví dụ:
t-24b5bf4e00b2af1234
2.2 user_access_token
- Yêu cầu ủy quyền: Có
- Mục đích: Thực hiện các thao tác thay mặt cho người dùng cụ thể
- Tiền tố:
u- - Ví dụ:
u-Lr1RT7S8fS03mT1234
2.3 app_access_token
- Yêu cầu ủy quyền: Không
- Mục đích: Thực hiện các thao tác bằng danh tính của ứng dụng
- Tiền tố:
a-hoặct- - Ví dụ:
a-24b5cef00b1234
3. Cách chọn loại Access Token phù hợp
3.1 Kiểm tra tài liệu API
Trước tiên, hãy xem xét tài liệu API để biết loại token nào được hỗ trợ.
3.2 Xác định nhu cầu truy cập dữ liệu
3.2.1 Không cần truy cập dữ liệu người dùng
Sử dụng tenant_access_token
3.2.2 Cần truy cập dữ liệu người dùng
Sử dụng user_access_token
4. Cách lấy Access Token
4.1 Đối với Custom Apps
4.1.1 Lấy tenant_access_token
- Đăng nhập vào Developer Console
- Lấy App ID và App Secret
- Gọi API để lấy tenant_access_token
4.1.2 Lấy app_access_token
- Đăng nhập vào Developer Console
- Lấy App ID và App Secret
- Gọi API để lấy app_access_token
4.2 Đối với Store Apps
4.2.1 Lấy app_access_token
- Cấu hình URL nhận event subscription
- Lấy app_ticket
- Lấy App ID và App Secret
- Gọi API để lấy app_access_token
4.2.2 Lấy tenant_access_token
- Lấy và lưu app_access_token trước
- Lấy tenant_key
- Gọi API để lấy tenant_access_token
4.3 Lấy user_access_token (cho Web App)
- Cấu hình URL chuyển hướng trong Developer Console
- Gọi API để lấy mã pre-authorization
- Gọi API để lấy user_access_token
- (Tùy chọn) Làm mới user_access_token khi hết hạn
5. Cách sử dụng Access Token
5.1 Thêm Access Token vào tiêu đề HTTP
Khi gọi API, thêm access token vào tiêu đề HTTP của yêu cầu:
Authorization: Bearer <access_token>5.2 Ví dụ sử dụng cURL
curl --location --request GET 'https://open.larksuite.com/open-apis/contact/v3/departments/od-64242a18099d3a31acd24d8fce8dxxxx' \
--header 'Authorization: Bearer t-5888bcb7c421a695ca83c449caba5cxxxx' \
--header 'Content-Type: application/json; charset=utf-8'6. Lưu ý bảo mật
6.1 Không sử dụng Access Token ở Frontend
Tránh sử dụng access token trực tiếp trong mã frontend của ứng dụng.
6.2 Gửi yêu cầu API từ Backend
Luôn gửi yêu cầu API từ máy chủ backend của ứng dụng để đảm bảo an toàn.
7. Kết luận
Hiểu và sử dụng đúng cách các loại access token là yếu tố quan trọng để phát triển ứng dụng an toàn và hiệu quả trên Lark Open Platform. Bằng cách tuân thủ các hướng dẫn này, bạn có thể đảm bảo rằng ứng dụng của mình tương tác với API của Lark một cách an toàn và đúng cách.