T/CAICI 91—2024
5G消息业务增强能力规范—统一认证能力要求
5G Messaging Services Enhancement Capability Specification –
Unified Authentication Capability Requirements
2024-08-26发布 2024-09-15实施
中国通信企业协会 发 布
I
目 次
前言 ................................................................................................................................................................... III
1 范围 ............................................................................................................................................................... 1
2 规范性引用文件 ........................................................................................................................................... 1
3 术语和定义 ................................................................................................................................................... 1
4 统一认证能力概述 ....................................................................................................................................... 2
4.1 统一认证能力开放需求 ....................................................................................................................... 2
4.2 统一认证能力开放实现方案 ............................................................................................................... 2
5 统一认证能力功能要求 ............................................................................................................................... 3
5.1 终端获取统一认证能力服务器地址 ................................................................................................... 3
5.2 第三方应用申请开通统一认证能力 ................................................................................................... 3
5.3 用户免密登录第三方应用网页 ........................................................................................................... 3
5.4 第三方应用提供的链接格式 ............................................................................................................... 3
6 统一认证能力系统架构 ............................................................................................................................... 5
6.1 系统逻辑架构图 .................................................................................................................................. 5
6.2 网元功能 .............................................................................................................................................. 5
6.3 接口描述 .............................................................................................................................................. 5
7 统一认证技术流程 ....................................................................................................................................... 6
7.1 第三方应用开通统一认证能力流程 ................................................................................................... 6
7.2 用户授权确认流程 ............................................................................................................................... 6
7.3 用户授权后免密登录第三方应用网页流程 ..................................................................................... 11
8 统一认证相关平台侧接口 .......................................................................................................................... 12
8.1 第三方应用系统与统一认证能力开通模块间的接口(接口1) .................................................. 12
8.2 第三方应用系统与MaaP 平台间的接口(接口2) ....................................................................... 12
8.3 5G 消息中心与终端间的接口(接口3) ........................................................................................ 12
8.4 第三方应用系统与终端间的接口(接口4) .................................................................................. 12
8.5 GBA 认证能力开放平台与终端间的接口(接口5:内置浏览器方案) ..................................... 13
8.6 GBA 认证能力开放平台与终端间的接口(接口5:终端Native 方案) .................................... 17
8.7 第三方应用系统与GBA 认证能力开放平台间的接口(接口6) ................................................ 20
8.8 GBA 认证能力开放平台与BSF 间的接口(接口7) .................................................................... 28
8.9 全局响应码 ........................................................................................................................................ 28
9 统一认证相关终端侧接口 .......................................................................................................................... 29
9.1 查询终端是否支持GBA 认证能力开放 ........................................................................................... 29
T/CAICI 91—2024
II
9.2 获取授权码 ........................................................................................................................................ 29
10 统一认证相关接口安全要求 .................................................................................................................... 29
T/CAICI 91—2024
III
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1 部分:标准化文件的结构和起草规则》的规定
起草。
本文件由中国通信企业协会团体标准管理委员会提出并归口。
本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件起草单位:中国移动通信集团有限公司、中国信息通信研究院、中国电信集团有限公司、中
国联合网络通信集团有限公司、中国通信企业协会增值服务专业委员会、中移互联网有限公司、中移动
金融科技有限公司、信元公众信息发展有限责任公司、联通在线信息科技有限公司、中讯邮电咨询设计
院有限公司、中广电移动网络有限公司、新华通讯社通信技术局、北京百悟科技有限公司、北京国都互
联科技有限公司、北京久佳信通科技有限公司、北京美联软通科技有限公司、北京三星通信技术研究有
限公司、广东蜂动科技有限公司、联动优势科技有限公司、上海帜讯信息技术股份有限公司、深圳市梦
网科技发展有限公司、深圳市南方国讯科技有限公司、深圳市壹通道科技有限公司、数海信息技术有限
公司、小米科技有限责任公司、中兴通讯股份有限公司、中邮世纪(北京)通信技术有限公司、OPPO
广东移动通信有限公司
本文件主要起草人:李家姿、解谦、李旦、宁恒宇、胡博、刘悦、刘念、马臻臻、李志猛、李笑郁、
张水云、林志勇、江旭、宁志刚、连静、侯帅、李辉、邬学川、刘艳伟、张振宇、佘康妮、张莹莹、江
呈、成鹏、陈连增、易超、古鹏、程飞、章慎锋、邓为、吴莎、韩松乔、孙晓明、许红波、杨振、王亮、
刘志欣、范军、王全、钱炜、王莉莉、夏祥
本文件为中国通信企业协会首次发布。
T/CAICI 91—2024
1
5G消息业务增强能力规范—统一认证能力要求
1 范围
本标准规定了5G 消息业务增强能力中的统一认证能力要求,包括统一认证能力的功能要求、系统
架构、技术流程等。供运营商、网络设备商、终端厂商使用,为其在中国境内建设、使用5G消息统一
认证能力时提供技术依据。
基于GBA 鉴权机制的5G 消息统一认证能力,未来可进一步演进形成通用服务和标准,应用于除
5G 消息业务外的其它业务服务流程。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
YD/T 3989—2021 5G 消息总体技术要求
3 术语和定义
下列术语、定义和缩略语适用于本标准:
3.1 术语、定义
3.1.1
5G消息 5G Messaging
5G 消息是能与短信/彩信等基础电信业务协同开展的业务,5G 消息业务包括个人消息、行业消息
和增强通话涉及的消息等业务形式。
3.1.2
聊天机器人 Chatbot
5G 消息中行业消息应用的呈现形式,以消息对话的方式,向用户提供行业消息服务功能,也可称
为应用号。
3.2 缩略语
下列缩略语适用于本文件。
BIA 自举信息应答消息 Bootstrapping-Info Answer
T/CAICI 91—2024
2
BIR 自举信息请求 Bootstrapping-Info Request
BSF 引导服务功能 Bootstrapping Server Function
GBA 通用引导架构 Generic Bootstrapping Architecture
HTTP 超文本传输协议 HyperText Transfer Protocol
MaaP 消息即平台 Messaging as a Platform
USIM 用户全球识别卡 Universal Subscriber Identity Module
4 统一认证能力概述
4.1 统一认证能力开放需求
YD/T 3989—2021《5G 消息 总体技术要求》中已经规定了HTTP 类业务采用GBA 对终端用户进
行认证,但只有5G 消息系统功能(如5G 消息终端获取配置、chatbot 搜索、文件上传下载等)能够使
用GBA 认证能力。为了向Chatbot 应用提供统一的用户身份认证能力,本标准将制定统一认证能力开
放技术要求,将GBA 认证能力进行封装,并开放给Chatbot使用。Chatbot 使用该能力后,用户点击该
Chatbot发送的5G消息中包含该Chatbot自有系统的链接时,从5G消息界面跳转到该Chatbot的网页,
跳转后,用户无需输入其在该Chatbot系统上的用户名和密码,即可快捷登录到该Chatbot的网页上。
4.2 统一认证能力开放实现方案
4.2.1 概述
统一认证能力开放需要终端侧设置GBA 认证模块,网络侧设置GBA 认证能力开放平台,终端与平
台相互配合,完成对用户身份进行认证后登录第三方应用网页。
在第三方应用获取用户身份信息(本标准中主要指手机号码,也可根据业务需要扩展支持其他的用
户信息)前,用户需要授权该第三方应用获得其身份信息,授权只对当次请求有效。终端侧实现该授权
及认证流程有2 种不同的实现方式:
方案一:GBA 认证能力开放平台提供网页版授权页面,下文中简称为“内置浏览器方案”。
方案二:终端GBA 认证模块提供native 版授权页面,下文中简称为“终端Native 方案”。
4.2.2 方案一:内置浏览器方案
当用户点击5G 消息中包含第三方应用外链的按钮或内容时,终端应调起5G 消息应用中的内置浏
览器,内置浏览器与网络侧GBA 认证能力开放平台交互,获取授权页面,用户确认向该Chatbot 授权
获取其身份信息后,内置浏览器应与终端GBA 认证模块交互,终端GBA 认证模块再与GBA 认证能力
开放平台交互,对第三方应用和用户的身份进行认证鉴权,用户无需输入其在该Chatbot 系统上的用户
名和密码,即可快捷登录到第三方应用网页。
4.2.3 方案二:终端Native 方案
当用户点击5G 消息中包含第三方应用外链的按钮或内容时,终端应调用GBA 认证模块获取native
版授权页面,用户确认向该Chatbot 授权获取其身份信息后,终端GBA 认证模块与GBA 认证能力开放
T/CAICI 91—2024
3
平台交互,对第三方应用和用户的身份进行认证鉴权,用户无需输入用户名和密码,即可快捷登录到第
三方应用网页。
5 统一认证能力功能要求
5.1 终端获取统一认证能力服务器地址
5G 消息的配置数据应扩展一个统一认证能力服务器地址的配置参数,终端应通过配置流程获取统
一认证能力服务器的地址。
统一认证能力服务器地址的配置参数应设置在MESSAGING参数下,参数名称为“Single sign-on”,
配置数据形如:
……
……
5.2 第三方应用申请开通统一认证能力
第三方应用要获得统一认证能力,应在统一认证能力的归属运营商进行开通。运营商应支持在线开
通方式。如果第三方应用的主体为企业,在线提交的企业信息应至少包括企业名称、企业法人信息、企
业营业执照信息、企业联系人信息(包括手机号码)、申请使用认证能力的Chatbot 名称。如果第三方
应用的主体为个人,在线提交的个人信息应至少包括姓名、个人身份证信息、个人手机号信息、个人证
件照信息、申请使用认证能力的Chatbot 名称。
开通成功后,第三方应用可选择资费模式(包括免费模式和收费模式)和套餐包,支付后,即可接
入GBA 认证能力开放平台,使用GBA 认证能力开放平台提供的统一认证能力。
运营商可结合业务需求,简化统一认证能力的开通流程。如在商户申请开通Chatbot 流程中,增加
同时开通统一认证能力的可选项。如果Chatbot选择了同时开通统一认证能力,可继续添加具体使用统
一认证能力的外部链接,具体功能可由运营商自行设计。
5.3 用户免密登录第三方应用网页
用户通过5G 消息界面打开Chatbot 提供的非5G 消息系统内的链接(下文中可简称为外部链接、
或者外链)时,如果该Chatbot 开通了统一认证能力,Chatbot 在获得用户身份之前,应向用户展示授
权询问页面,用户点击“确认”或“同意”后,该Chatbot方可获得用户的身份信息,并应依据用户的
身份信息为该用户展示登录后的页面。
5.4 第三方应用提供的链接格式
第三方应用可在文本消息、卡片消息中携带链接,用户点击链接后可免密登录到第三方应用的网页。
T/CAICI 91—2024
4
链接格式可采用如下2种方式:
1) 通过GBA 开放平台跳转到第三方应用网页,链接中应携带GBA 开放平台地址、第三方应用
的appid、网页链接、运营商标识,链接格式形如:https://www.cmccgba.com? appid=xx&url=
xxx&operator=xxx;
2) 直接跳转到第三方应用网页,链接中应携带第三方应用的网页链接、appid、运营商标识、GBA
认证标识,链接格式形如:https://www.abc.com?appid=xx&operator=xxx&gba=0。
注:上述2种格式的链接既适用于终端内置浏览器方案,又适用于终端Native方案。
对第一种链接中各项要素的说明如表1 所示。对第二种链接中各项要素的说明如表2 所示。
表1 链接方式1参数说明
参数名 可选属性 描述 示例
GBA开放平台地址 M
GBA开放平台提供的web url,终端通过该地址获取授
权确认页面,由提供GBA能力开放的运营商提供
www.cmccgba.com
appid M
第三方应用的唯一凭证,由GBA 开放平台分配,为一
个字符串
—
第三方应用的网页链接 M
第三方应用提供的web url,终端通过该地址访问第三
方应用的页面,由第三方应用提供,主域名应在其开通
Chatbot时在运营商登记过。
www.abc.com
operator M
运营商标识,采用一位数字表示:
中国移动:1
中国电信:2
中国联通:3
中国广电:4
—
表2 链接方式2参数说明
参数名 可选属性 描述 示例
第三方应用的网页链接 M
第三方应用提供的web url,终端通过该地址访问第三方
应用的页面,由第三方应用提供,主域名应在其开通
Chatbot时在运营商登记过。
www.abc.com
operator M
运营商标识,采用一位数字表示:
中国移动:1
中国电信:2
中国联通:3
中国广电:4
—
appid M
第三方应用的唯一凭证,由GBA 开放平台分配,为一
个字符串
—
gba M
GBA认证标识,采用一位数字表示:
需要GBA认证:0
不需要GBA认证:1
默认值为1
—
T/CAICI 91—2024
5
6 统一认证能力系统架构
6.1 系统逻辑架构图
如图1所示,统一认证能力开通模块,可在GBA 认证能力开放平台内部实现,也可以作为独立子
模块,在5G消息系统中集成,以进一步满足业务的定制化需求。
图1 统一认证系统架构及接口
在5G消息系统中集成时,5G消息系统需要代Chatbot去GBA认证能力开放平台去开通认证能力,
再把开通结果转给Chatbot。本标准中按GBA 认证能力开放平台实现开通进行规定,5G 消息系统集成
开通的方式由运营商根据运营需求自行实现,不在本标准规定范围内。
6.2 网元功能
统一认证涉及到的网元及网元功能如下。
5G 消息系统:包含MaaP 平台、5G 消息中心、统一认证能力开通逻辑模块(可选),接收第三方
应用系统向用户发送的Chatbot 消息,并转发给终端;负责为第三方应用系统开通统一认证能力
(可选)。
GBA 认证能力开放平台:负责为第三方应用系统开通统一认证能力,通过GBA认证流程获取终端
用户的身份信息,开放给第三方应用系统。
BSF:与GBA 认证能力开放平台交互,向其提供终端用户身份信息。
第三方应用系统:通过5G 消息系统向终端用户下发Chatbot消息;通过调用GBA认证能力,向用
户提供登录后的网页内容。
6.3 接口描述
统一认证能力涉及到的接口如图1中接口①~⑧所示。
接口①:第三方应用系统与统一认证能力开通逻辑模块间的接口,完成统一认证能力开通相关的
Chatbot信息提交以及开通结果通知等。
接口②:第三方应用系统与5G 消息系统中MaaP 平台间的接口,完成Chatbot 消息交互,采用
HTTP/HTTPS 协议通信。
T/CAICI 91—2024
6
接口③:5G消息系统中5G消息中心与终端间的接口,完成Chatbot消息交互,采用SIP协议通信。
接口④:第三方应用系统与终端间的接口,采用HTTP/HTTPS 协议,用于终端访问第三方应用系
统的网页。
接口⑤:GBA 认证能力平台与终端间的接口,用于终端用户向Chatbot 授权其获取用户身份信息,
终端GBA模块获取用户身份信息等。
接口⑥:GBA 认证能力开放平台与第三方应用系统间的接口,用于第三方应用系统获取用户授权
询问页面、用凭证换取用户信息等。
接口⑦:GBA 认证能力开放平台与BSF 间的接口,用于GBA 认证能力开放平台从BSF 获取用户
身份信息。
7 统一认证技术流程
7.1 第三方应用开通统一认证能力流程
第三方应用到GBA认证能力开放平台申请开通统一认证能力,流程如图2所示。
图2 应用开通统一认证能力流程
流程如下:
1.第三方应用系统申请开通统一认证能力,携带第三方应用的企业名称、管理者身份、Chatbot
名称等信息。
2.GBA认证能力开放平台为第三方应用系统开通统一认证能力,并向其返回开通结果,如果开通
成功,则携带appid、appsecret;如果开通失败,则携带开通失败的错误原因描述。运营商可根据5G消
息业务运营需求,appid和appsecret复用Chatbot注册时为其分配的账号及校验参数信息。
7.2 用户授权确认流程
7.2.1 内置浏览器方案下的用户授权确认流程
用户通过5G消息应用中的链接访问第三方应用提供的网页时,第三方应用如果要获得用户身份信
息,需要取得用户授权,用户确认授权后,5G 消息终端与GBA 认证能力开放平台、第三方服务平台
交互,获得登录后的第三方应用网页。用户获取授权页面流程如图3 所示,用户确认授权流程如图4
所示。
T/CAICI 91—2024
7
图3 用户获取授权页面流程
流程如下:
1~4、用户点击5G消息中的外链,调起5G消息终端内置浏览器访问外链。
用户授权确认页面的触发方式可以通过2种机制实现,可由运营商根据应用类型、业务策略等灵活
T/CAICI 91—2024
8
选择采用何种机制。
图4 用户授权确认流程
—机制1:直接访问GBA 认证能力开放平台。5’~7’:外链直接指向GBA 认证能力开放平台,
外链中携带预先由GBA 认证能力开放平台为Chatbot 分配的appid 和Chatbot 的回调URL 参
数。GBA 认证能力开放平台对appid 和回调URL 进行校验,如果校验通过,则返回授权确
认页面,携带预授权code; 如果校验不通过,则返回校验不通过的结果及不通过的原因提
示页面。
T/CAICI 91—2024
9
—机制2:通过第三方应用系统跳转访问GBA认证能力开放平台。5~9:第三方应用系统向GBA
认证能力开放平台请求获得授权询问页面,请求中携带预先由GBA认证能力开放平台为其分
配的appid和第三方应用平台的回调URL。GBA认证能力开放平台对appid和回调URL 进行
校验,如果校验通过,则返回授权确认页面URL 和预授权code,第三方应用系统将其转发至
5G 消息终端内置浏览器;如果校验不通过,则返回校验不通过的结果及不通过的原因,第三
方应用系统按照其自有逻辑处理后续流程。
10~11.终端内置浏览器根据授权确认页面URL 访问GBA 认证能力开放平台,GBA 认证能力开
放平台返回授权确认页面。
12~13.页面调用GBA认证模块查询终端是否支持GBA认证能力开放。
14.页面对查询结果进行判断,如果调用查询报错或者返回错误码则认定不支持,code 为0 则认
定支持,具体调用方式参见第9.1节。
15’~18’.对于不支持GBA 认证能力开放的终端,页面向GBA认证能力开放平台通知用户取消授
权的结果,,具体调用方式参见第9.2节。GBA认证能力开放平台记录该事件,向终端返回第三方应用
系统的回调URL。页面自动跳转,继续访问未经认证的第三方应用页面。
15.如果终端支持GBA认证能力开放,终端内置浏览器展示授权确认页面,询问用户是否同意该
chatbot获取用户身份信息(手机号码)。
流程如下:
1’~5’.用户点击取消授权。如果Chatbot 设置为允许访问Chatbot 未登录页面,GBA 认证能力开
放平台获得用户取消授权的结果后,记录该事件,并向用户返回第三方应用系统的回调URL,用户继
续访问未经认证的第三方应用页面;如果Chatbot 设置为不允许访问Chatbot 未登录页面,则跳转到一
个提示页面,页面中包含重试入口,用户可点击后再次选择是否确认授权。
1~3.用户点击授权确认。 内置浏览器向终端GBA 认证模块通知用户授权确认的结果,携带预
授权code,具体调用方式参见第9.1 节。如果GBA 认证模块没有有效的B-TID,则向BSF 发起标准
GBA 认证流程;如果GBA 认证模块有有效的B-TID,则使用该有效的B-TID 继续执行第4步。
4~6.终端GBA认证模块向GBA认证能力开放平台发送用户授权确认,携带B-TID和预授权code。
GBA 认证能力开放平台如果没有B-TID 的缓存信息或缓存有效期已过期,则GBA 认证能力开放平台
与BSF 执行GBA 认证的后续流程,获得用户的IMPU 和IMPI,并保存缓存信息;GBA 认证能力开放
平台如果有B-TID 的缓存信息且在有效期范围内,则使用缓存信息。GBA 认证能力开放平台确认用户
身份并校验预授权code,校验通过后生成授权code。
7~8.GBA认证能力开放平台向终端GBA认证模块返回第三方应用的回调URL和授权code,具
体调用方式参见第9.2节。GBA认证模块向内置浏览器返回第三方应用的回调URL和授权code。
7.2.2 终端Native 方案下的用户授权确认流程
用户通过5G消息应用中的链接访问第三方应用提供的网页时,第三方应用如果要获得用户身份信
息,需要取得用户授权,用户确认授权后,5G 消息终端与GBA 认证能力开放平台交互,获得登录后
的第三方应用网页。native终端用户授权确认如图5所示。
T/CAICI 91—2024
10
图5 native 终端用户授权确认流程
T/CAICI 91—2024
11
流程如下:
1~4.Chatbot向用户发送携带外链的5G 消息,用户点击5G消息中的外链,终端侧的消息处理模
块调起GBA认证模块,GBA 认证模块执行是否需要进行GBA认证的校验。
5.终端GBA 认证模块根据外链的格式及参数进行校验,判断该外链是否需要进行GBA认证。如
果需要,则提取出appid、回调url、回调url 域名、权限范围(可选,如果链接中携带,则提取该参数
值)。
6’.对于不需要进行GBA认证的链接,终端GBA认证模块直接返回原链给终端消息处理模块。
6.对于需要进行GBA认证校验的链接,GBA认证模块弹出授权页面。
7’~8’.用户点击取消授权。终端GBA 认证模块直接返回原链给终端消息护理模块。
7~8.用户点击授权确认,如果GBA 认证模块没有有效的B-TID,则向BSF 发起标准GBA 认证
流程;如果GBA 认证模块有有效的B-TID,则使用该有效的B-TID 继续执行第9步。
9.终端GBA 认证模块向GBA 认证能力开放平台发送用户授权确认,携带B-TID、appid 和回调
URL 域名。
10.GBA 认证能力开放平台对appid 有效性进行校验,同时校验appid 在GBA 开放平台配置的域
名跟回调url的域名是否一致。
11’~12’.对于appid无效或者域名配置不匹配的情况,GBA认证能力开放平台返回错误码,终端
GBA 认证模块直接返回原链给终端消息处理模块。
11.对于appid 有效且域名配置匹配的,GBA 认证能力开放平台检查本地缓存是否有该B-TID 对
应的用户信息,如果没有B-TID 的缓存信息或缓存有效期已过期,则GBA 认证能力开放平台与BSF
执行GBA 认证的后续流程,获得用户的IMPU 和IMPI,并保存缓存信息;GBA 认证能力开放平台如
果有该B-TID 对应的缓存用户信息且在有效期范围内,则使用该缓存的用户信息。
12.GBA 认证能力开放平台根据BSF 返回的BIA 消息中的用户信息来确认用户身份并进行标准
GBA 校验(根据用户的USS 信息,验证UE 传送过来的身份信息IMPU 是否一致;利用B-TID(用户
名)和Ks_NAF(口令)进行HTTP Digest计算response,并与请求消息头域Authorization中的response
值比对是否一致)。
13’~14’.对于身份信息不符或者response不匹配,GBA认证能力开放平台返回错误码,终端GBA
认证模块直接返回原链给终端消息处理模块。
13~15.对于身份信息符合且response匹配的,GBA 认证能力开放平台生成授权code并返回给终
端GBA认证模块,GBA认证模块返回回调url和授权code给终端消息处理模块。
16.消息处理模块调起5G消息终端浏览器访问GBA认证模块返回的链接(链接中携带授权code)。
7.3 用户授权后免密登录第三方应用网页流程
用户通过5G消息中的链接访问第三方应用提供的网页时,需要在授权询问页面进行用户授权。用
户确认授权后,终端侧GBA 认证模块与网络侧GBA 认证能力开放平台交互,获取授权code,并将授
权code 和第三方应用系统的回调URL 返回给内置浏览器(流程参见第7.2 节)。使用该授权code,即
可免密登录到第三方应用的网页。免密登录第三方应用网页的流程如图6所示。
T/CAICI 91—2024
12
图6 免密登录第三方应用网页的流程
流程如下:
1.内置浏览器携带授权code访问第三方应用系统。
2~3.第三方应用系统通过授权code 和其之前申请的appid、appsecret去GBA 认证能力开放平台
获取access_token.
4~5.第三方应用系统通过access_token去GBA认证能力开放平台换取用户号码。
6~7.第三方应用系统为用户登录后向用户返回登录后的网页内容。
8 统一认证相关平台侧接口
8.1 第三方应用系统与统一认证能力开通模块间的接口(接口1)
本接口完成统一认证能力开通相关的Chatbot信息提交以及开通结果通知等。具体实现方法遵循归
属运营商的相关规范。
8.2 第三方应用系统与MaaP 平台间的接口(接口2)
本接口完成Chatbot消息交互,采用HTTP/HTTPS 协议通信。具体实现方法遵循归属运营商的相关
规范。
8.3 5G消息中心与终端间的接口(接口3)
本接口完成Chatbot消息交互,采用SIP 协议通信。具体实现方法遵循归属运营商的相关规范。
8.4 第三方应用系统与终端间的接口(接口4)
终端访问第三方应用系统的接口链接,遵循标准的HTTP协议。
T/CAICI 91—2024
13
8.5 GBA认证能力开放平台与终端间的接口(接口5:内置浏览器方案)
8.5.1 鉴权消息接口
8.5.1.1 接口说明
终端向GBA认证能力开放平台发起HTTP 请求,终端应使用GBA 方式(3GPP TS 33.220)进行鉴
权,应按照 3GPP TS 24.109 规定在HTTP POST 头中添加User-Agent参数。
请求方法:GET
请求地址:/gbaop/v1/auth/code
8.5.1.2 HTTP请求头信息
表3 HTTP请求头信息
参数名 可选属性 描述 示例
User-Agent M 终端类型 NAF1 Application Agent Release-6 3gpp-gba
X-3GPP-Intended-Identity M 请求账号 sip:+8613911111111@operator.com
8.5.1.3 HTTP请求参数
http请求params的参数:
无
http请求body 的参数:
无
8.5.1.4 HTTP响应参数
表4 http响应头的参数
参数名 可选属性 可选值 示例
WWW-Authenticate M 认证参数 Digest realm="3GPP-bootstrapping@ ftcontentserver.rcs.mnc00. cc460.
pub.3gppnetwork.org ", nonce="6629fae49393a05397450978507c4ef1",
algorithm=AKA_v1_SHA256, qop="auth,auth-int", opaque="5ccc069c
403ebaf9f0171e9517f30e41"
http响应body 参数:
无
8.5.1.5 http 响应码
表5 http响应码
返回码 说明
401 未认证
8.5.1.6 接口示例
GET /gbaop/v1/auth/code HTTP/1.1
T/CAICI 91—2024
14
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
X-3GPP-Intended-Identity: sip:+8613911111111@operator.com
Connection: Keep-Alive
Content-Length: 0
HTTP/1.1 401 Unauthorized
Server: Apache/1.3.22 (Unix) mod_perl/1.27
Date: Thu, 24 July 2019 10:50:35 GMT
WWW-Authenticate: Digest realm="3GPP-bootstrapping@ ftcontentserver.rcs. mnc00.
mcc460.pub.3gppnetwork.org ", nonce="6629fae49393a05397450978507c4ef1", algorithm=
AKA_v1_SHA256, qop="auth,auth-int", opaque="5ccc069c403ebaf9f0171e9517f30e41"
8.5.2 授权code 获取接口
8.5.2.1 接口说明
5G 消息终端GBA 模块通过本接口向GBA 认证能力开放平台申请授权code,采用HTTPS 协议。
请求方法:GET
请求地址:/gbaop/v1/auth/code
8.5.2.2 请求头信息
表6 请求头信息
参数名 可选属性 描述 示例
Authorization M 鉴权头参数
GBA方式鉴权:
Digest realm="...",
nonce="...", ...
Digest username="(B-TID)",
realm="3GPP-bootstrapping@naf.home1.net", nonce=
"a6332ffd2d234==", uri="/", qop=auth-int, nc=00000001,
cnonce="6629fae49393a05397450978507c4ef1", response=
"6629fae49393a05397450978507c4ef1", opaque="5ccc069
c403ebaf9f0171e9517f30e41", algorithm=SHA-256
X-3GPP-Intended-Identity M 用户地址 +8613844445678
8.5.2.3 请求参数
http请求params的参数:
表7 http请求params的参数
参数名 数据类型 可选属性 描述
pre_auth_code varchar(64) M 预授权code,且必须与8.7.1步骤中的该参数值保持一致。
http请求body 的参数:无
8.5.2.4 响应参数
http响应头的参数:
T/CAICI 91—2024
15
表8 http响应头的参数
参数名 可选属性 描述 示例
content-type M 请求内容类型,此处必填application/json application/json
http响应body 参数:
表9 http响应body 参数
参数名 数据类型 可选属性 描述
code varchar(64) M 响应码
message varchar(64) M 响应码说明
request_id varchar(64) C 请求id
data Object O 响应数据
data:
表10 http响应data参数
参数名 数据类型 可选属性 描述
redirect_uri varchar(64) M
重定向地址,包含auth_code 和state 参数。
auth_code:授权code,必选项。该码的有效期应该很短,通常设为10
分钟,终端只能使用该码一次,否则应被GBA开放平台拒绝。该码与终
端手机号码和重定向URI,是一一对应关系。
state:如果8.7.1中终端的请求中包含该参数,GBA认证能力开放平台
的回应也应包含该参数,例如:
https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
8.5.2.5 http 响应码
表11 http响应码
返回码 说明
302 认证成功,重定向
404 认证不存在
410 认证过期
8.5.2.6 接口示例
GET /gbaop/v1/auth/code?pre_auth_code=kdflsflsdkf HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
X-3GPP-Intended-Identity: +8613844445678
T/CAICI 91—2024
16
Authorization: Digest username="(B-TID)", realm="3GPP-bootstrapping@naf.home1.net",
nonce="a6332ffd2d234==", uri="/", qop=auth-int, nc=00000001, cnonce="6629fae49393a
05397450978507c4ef1", response="6629fae49393a05397450978507c4ef1", opaque="5ccc069c
403ebaf9f0171e9517f30e41", algorithm=SHA-256
Connection: Keep-Alive
Content-Length: 0
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 09 Nov 2020 02:03:33 GMT
Keep-Alive: timeout=60
Connection: keep-alive
{
"code": "0",
"data": {
"redirect_uri": " https://client.example.com/cb?auth_code=SplxlOBeZQQYbYS6Wx
SbIA& state= xyz "
},
"message": "OK"
}
8.5.3 取消授权接口
8.5.3.1 接口说明
终端(5G消息内置浏览器)通过本接口向GBA认证能力开放平台申请取消授权,包括用户取消授权
(即用户不同意授权该Chatbot查看其身份信息)和由于终端不支持GBA认证能力开放而导致的系统取
消授权2个场景。
调用方式:H5 ->GBA认证能力开放平台
请求方法:GET
请求地址:/gbaop/v1/auth/cancel
8.5.3.2 请求头信息
表12 请求头信息
参数名 可选属性 描述 示例
User-Agent M 终端类型,内置浏览器特殊约定的类型 XXXX
8.5.3.3 请求参数
http请求params的参数:
T/CAICI 91—2024
17
表13 http请求params的参数
参数名 数据类型 可选属性 描述
pre_auth_code varchar(64) M 预授权code,且应与8.7.1节中的该参数值保持一致。
http请求body 的参数:
无
8.5.3.4 响应参数
http响应头的参数:
表14 http响应头的参数
参数名 可选属性 描述 示例
Location M
重定向地址,回调url加state参数,不包含auth_code ,只包
含了state 参数.
回调url:8.7.1节中终端的请求参数
state: 如果8.7.1节终端的请求中包含这个参数,GBA认证能
力开放平台的应答也应包含这个参数。
https://client.example.com/cb?
state=xyz
http响应body 参数:
无
8.5.3.5 http 响应码
表15 http响应码
返回码 说明
302 认证成功,重定向
404 认证不存在
410 认证过期
8.5.3.6 接口示例
POST /gbaop/v1/auth/cancel?pre_auth_code=kdflsflsdkf HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
Connection: Keep-Alive
Content-Length: 0
HTTP/1.1 302 Found
Location: https://client.example.com/cb?state=xyz
8.6 GBA认证能力开放平台与终端间的接口(接口5:终端Native方案)
8.6.1 接口说明
5G 消息Native 终端GBA 模块通过本接口向GBA 认证能力开放平台申请授权code,采用HTTPS
T/CAICI 91—2024
18
协议。
请求方法:GET
请求地址:/gbaop/v1/auth/code
8.6.2 请求头信息
表16 请求头信息
参数名 可选属性 描述 示例
Authorization M
鉴权头参数
GBA方式鉴
权:Digest
realm="...",
nonce="...", ...
Digest username="(B-TID)",
realm="3GPP-bootstrapping@naf.home1.net",
nonce="a6332ffd2d234==", uri="/", qop=auth-int, nc=00000001,
cnonce="6629fae49393a05397450978507c4ef1",
response="6629fae49393a05397450978507c4ef1",
opaque="5ccc069c403ebaf9f0171e9517f30e41",
algorithm=SHA-256
X-3GPP-Intended-Identity M 用户地址 +8613844445678
8.6.3 请求参数
http请求params 的参数:
表17 http请求params的参数
参数名 数据类型 可选属性 描述
appid varchar(64) M 应用的ID,第三方服务平台的唯一标识
domain varchar(64) M 回调url域名
scope varchar(64) O 权限范围
http请求body 的参数:无
8.6.4 响应参数
http响应头的参数:
表18 http响应头的参数
参数名 可选属性 描述 示例
content-type M 请求内容类型,此处必填application/json application/json
http响应body 参数:
表19 http响应body 参数
参数名 数据类型 可选属性 描述
code varchar(64) M 响应码
message varchar(64) M 响应码说明
T/CAICI 91—2024
19
表19 http响应body 参数(续)
参数名 数据类型 可选属性 描述
request_id varchar(64) C 请求id
data Object O 响应数据
data:
表20 http响应data参数
参数名 数据类型 可选属性 描述
auth_code varchar(64) M
授权码。该码的有效期应该很短,通常设为10分钟,客户端只
能使用该码一次,否则会被授权服务器拒绝。
8.6.5 http响应码
表21 http响应码
返回码 说明
302 认证成功,重定向
404 认证不存在
410 认证过期
8.6.6 接口示例
GET /gbaop/v1/auth/code?appid=XX&domain=XX&scope=XX HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
X-3GPP-Intended-Identity: +8613844445678
Authorization: Digest username="(B-TID)", realm="3GPP-bootstrapping@naf.home1.net",
nonce="a6332ffd2d234==", uri="/", qop=auth-int, nc=00000001, cnonce="6629fae49393a
05397450978507c4ef1", response="6629fae49393a05397450978507c4ef1", opaque="5ccc069c403
ebaf9f0171e9517f30e41", algorithm=SHA-256
Connection: Keep-Alive
Content-Length: 0
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 09 Nov 2020 02:03:33 GMT
Keep-Alive: timeout=60
Connection: keep-alive
T/CAICI 91—2024
20
{
"code": "0",
"data": {
"auth_code": "XXXX"
},
"message": "OK"
}
8.7 第三方应用系统与GBA认证能力开放平台间的接口(接口6)
8.7.1 授权确认页面获取接口(内置浏览器方案)
8.7.1.1 接口说明
终端(系统内置浏览器内)通过本接口向GBA认证能力开放平台申请授权确认页面URL。
请求方法:GET
请求地址:/gbaop/v1/auth/authorizepage
8.7.1.2 请求头信息
表22 请求头信息
参数名 可选属性 描述 示例
User-Agent M 终端类型,内置浏览器特殊约定的类型 XXXX
8.7.1.3 请求参数
http请求params的参数:
表23 http请求params的参数
参数名 数据类型 可选属性 描述
response_type varchar(64) M 授权类型, 此处的值固定为"code"
appid varchar(64) M 应用的ID,是该应用的唯一标识
redirect_uri varchar(64) M 重定向URI
scope varchar(64) O
权限范围,默认取值为:telnum
运营商可根据实际情况扩展其他值,用于开放更多的权限类型,如
用户位置等
state varchar(256) O
终端的当前状态,可以指定任意值,GBA 认证能力开放平台应原样
返回这个值
cancel_redirect bool O
如果用户取消授权是否跳转redirect_uri,取值可为:
true:跳转;
false:不跳转,转到包含重试的取消提示页面,默认为false
T/CAICI 91—2024
21
http请求body 的参数:
无
8.7.1.4 响应参数
http响应头的参数:
表24 http响应头的参数
参数名 可选属性 描述 示例
content-type M 请求内容类型,此处必填application/json application/json
http响应body 参数:
表25 http响应body 的参数
参数名 数据类型 可选属性 描述
code varchar(64) M 响应码,具体请见8章节的全局响应码
message varchar(64) M 响应码说明
request_id varchar(64) C 请求id
data Object O 响应数据
data:
表26 http响应data的参数
参数名 数据类型 可选属性 描述
auth_url varchar(255) M
授权确认页面url,包含如下参数:
pre_auth_code:预授权code,用于获取授权code时使用
app_name:应用名称
cancel_redirect: 取消授权是否跳转
例如:
https://client.example.com/gbaopv/index.html?pre_auth_code=SplxlOBeZQ
QYbYS6WxSbI&app_name=应用名称&cancel_redirect=false
8.7.1.5 响应码
表27 响应码
返回码 说明
0 获取成功
40002 参数不合法
8.7.1.6 接口示例
GET /gbaop/v1/authorizepage?response_type=code&appid=s6BhdRkqt3&state=xyz&redirect
T/CAICI 91—2024
22
_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
X-3GPP-Intended-Identity: sip:+8613911111111@operator.com
Connection: Keep-Alive
Content-Length: 0
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 09 Nov 2020 02:03:33 GMT
Keep-Alive: timeout=60
Connection: keep-alive
{
"code": "0",
"data": {
"auth_url": " https://client.example.com/gbaopv/index.html?pre_auth_code=S
plxlOBeZQQYbYS6WxSbI&app_name%E8%B6%85%E7%BA%A7%E5%BA%94%E7%94%A8&cancel_redirect=false"
},
"message": "OK"
}
8.7.2 申请令牌接口
8.7.2.1 接口说明
第三方应用系统通过本接口向GBA认证能力开放平台申请令牌,采用HTTPS请求和应答的方式。
申请到的令牌用于后续换取用户身份信息。
请求方法:POST
请求地址:/gbaop/v1/auth/token
8.7.2.2 请求头信息
表28 请求头信息
参数名 可选属性 描述 示例
content-type M 请求内容类型,此处必填application/json application/json
8.7.2.3 请求参数
http请求params的参数:
无
T/CAICI 91—2024
23
http请求body 的参数:
表29 http请求body 的参数
参数名 数据类型 可选属性 描述
grant_type varchar(64) M 授权模式, 此处的值固定为"authorization_code"
auth_code varchar(64) M 授权code ,即8.5.2节中获得的授权code
appid varchar(64) M 应用的ID,为应用的唯一标识
appsecret varchar(64) M 应用的secret
8.7.2.4 响应参数
http响应头的参数:
无
http响应body 参数:
表30 http响应body 参数
参数名 数据类型 可选属性 描述
code varchar(64) M 响应码,具体请见8章节的全局响应码
message varchar(64) M 响应码说明
request_id varchar(64) C 请求id
data Object O 响应数据
data:
表31 http响应data参数
参数名 数据类型 可选属性 描述
access_token varchar(64) M 访问令牌,认证token
token_type varchar(64) M 令牌类型,该值大小写不敏感,默认取值为:bearer
expires_in int M 过期时间,单位为秒。如果省略该参数,应以其他方式设置过期时间
refresh_token varchar(64) O 更新令牌,用于获取下一次的访问令牌
scope varchar(256) O 权限范围, 如果与终端申请的范围一致,此项可省略
8.7.2.5 http 响应码
表32 响应码
返回码 说明
200 响应OK
T/CAICI 91—2024
24
8.7.2.6 接口示例
POST /gbaop/v1/auth/token HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
Content-Type: application/json
Connection: Keep-Alive
Content-Length: 45
{
"grant_type":"authorization_code",
"auth_code":"dfdfsdf",
"redirect_uri ":"https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb",
"appid":"fhfghgfhgfh",
"appsecret":"dfdfsdf"
}
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 09 Nov 2020 02:03:33 GMT
Keep-Alive: timeout=60
Connection: keep-alive
{
"code": "0",
"data": {
"access_token": "d2bbd4f22a0f9050e2fb17f2bdaa0bef",
"token_type":"bearer",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"scope":"telnum"
},
"message": "OK"
}
8.7.3 刷新令牌接口
8.7.3.1 接口说明
第三方应用系统通过本接口向GBA 认证能力开放平台刷新令牌,如果之前的access_token 已经过
期,更新为新的,如果没过期,仅仅更新有效期,采用HTTPS 请求和应答的方式。申请到的令牌用于
后续换取用户身份信息。
请求方法:POST
T/CAICI 91—2024
25
请求地址:/gbaop/v1/auth/refreshtoken
8.7.3.2 请求头信息
表33 请求头信息
参数名 可选属性 描述 示例
content-type M 请求内容类型,此处必填application/json application/json
8.7.3.3 请求参数
http请求params的参数:
无
http请求body 的参数:
表34 http请求body 的参数
参数名 数据类型 可选属性 描述
refresh_token varchar(64) M 更新令牌,用来获取下一次的访问令牌
8.7.3.4 响应参数
http响应头的参数:
无
http响应body 参数:
表35 http响应body 参数
参数名 数据类型 可选属性 描述
code varchar(64) M 响应码,具体请见8章节的全局响应码
message varchar(64) M 响应码说明
request_id varchar(64) C 请求id
data Object O 响应数据
data:
表36 http请求body 的参数
参数名 数据类型 可选属性 描述
access_token varchar(64) M 访问令牌,认证token
token_type varchar(64) M 令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型
expires_in int M 过期时间,单位为秒。如果省略该参数,应以其他方式设置过期时间
refresh_token varchar(64) O 更新令牌,用来获取下一次的访问令牌
scope varchar(256) O 权限范围, 如果与终端申请的范围一致,此项可省略
T/CAICI 91—2024
26
8.7.3.5 http 响应码
表37 http响应码
返回码 说明
200 响应OK
8.7.3.6 接口示例
POST /gbaop/v1/auth/refreshtoken HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
Content-Type: application/json
Connection: Keep-Alive
Content-Length: 45
{
"refresh_token": "d2bbd4f22a0f9050e2fb17f2bdaa0bef"
}
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 09 Nov 2020 02:03:33 GMT
Keep-Alive: timeout=60
Connection: keep-alive
{
"code": "0",
"data": {
"access_token": "d2bbd4f22a0f9050e2fb17f2bdaa0bef",
"token_type":"bearer",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"scope":"telnum"
},
"message": "OK"
}
8.7.4 查询用户身份信息接口
8.7.4.1 接口说明
第三方应用系统通过本接口向GBA 认证能力开放平台查询用户的身份信息(手机号码),采用
T/CAICI 91—2024
27
HTTPS 协议。
调用方式:第三方应用系统->GBA认证能力开放平台
请求方法:GET
请求地址:/gbaop/v1/auth/phonenum
8.7.4.2 请求头信息
表38 请求头信息
参数名 可选属性 描述 可选值
content-type M 请求内容类型 application/json
8.7.4.3 请求参数
http请求params的参数:
表39 http请求params的参数
参数名 数据类型 可选属性 描述
access_token varchar(64) M 认证token
http请求body 的参数:
无
8.7.4.4 响应参数
http响应头的参数:
无
http响应body 参数:
表40 http响应body 参数
参数名 数据类型 可选属性 描述
code varchar(64) M 响应码,具体请见8章节的全局响应码
message varchar(64) M 响应码说明
request_id varchar(64) C 请求id
data Object O 响应数据
data:
表41 http响应body 的参数
参数名 数据类型 可选属性 描述
tel_number varchar(64) M
手机号码,经过AES加密
其加密过程为AES(mobile,md516(appsecret))
T/CAICI 91—2024
28
8.7.4.5 http 响应码
表42 http响应码
返回码 说明
200 响应OK
8.7.4.6 接口示例
GET /gbaop/v1/auth/phonenum?access_token=ACCESS_TOKEN HTTP/1.1
User-Agent: NAF1 Application Agent Release-6 3gpp-gba
Date: Thu, 08 Jan 2019 10:50:35 GMT
X-3GPP-Intended-Identity: sip:+8613911111111@operator.com
Connection: Keep-Alive
Content-Length: 0
HTTP/1.1 200 OK
Set-Cookie: rememberMe=deleteMe; Path=/; Max-Age=0; Expires=Sun, 08-Nov-2020 13:46:12 GMT
Content-Type: application/json
Transfer-Encoding: chunked
Date: Mon, 09 Nov 2020 13:46:12 GMT
Keep-Alive: timeout=60
Connection: keep-alive
{
"code": "0",
"message": "成功",
"requestId": null,
"data": {
"tel_number ":"Ag0s+dnXycKAAV44sTqj4w=="
},
}
8.8 GBA认证能力开放平台与BSF间的接口(接口7)
GBA 认证能力开放平台通过本接口从BSF 获取用户身份信息,具体接口遵循运营商关于GBA 认
证相关的规范。
8.9 全局响应码
本章各个接口中共享使用的全局响应码如表43所示。
表43 全局响应码
返回码 说明
-1 系统忙
T/CAICI 91—2024
29
表43 全局响应码(续)
返回码 说明
0 受理成功
40001 授权失败
40002 凭证不合法
40003 该链接无法访问
40061 不合法的参数
9 统一认证相关终端侧接口
9.1 查询终端是否支持GBA认证能力开放
网页代码通过本接口中的调用函数查询终端是否支持GBA认证能力开放,终端通过结果回调函数
向页面返回查询结果。
调用函数:
window.android.checkGbaAuthorization(
version // 选填,版本
);
结果回调函数:
function setCheckGbaAuthResult(code,des) {
// 查询终端是否支持GBA认证能力开放后会执行此函数,如支持,code为0标识;其他则为失败,同时通过
des查看错误描述。这里可以执行响应的逻辑。
}
9.2 获取授权码
网页代码通过本接口中的调用函数向GBA 认证能力开放平台获取授权code,GBA 认证能力开放
平台通过结果回调函数向页面返回携带授权code的回调url。
调用函数:
window.android.startGbaAuthorization (
pre_auth_code // 必填,预授权码
);
结果回调函数:
function setGbaAuthResult(code,des,url) {
// 获取授权码后会执行此函数,如成功,code为0 标识,同时通过url获取携带授权code 的回调url;其
他则为失败,同时通过des 查看错误描述。这里可以执行响应的逻辑。
}
10 统一认证相关接口安全要求
GBA 认证能力开放平台应支持采用数据加密与签名机制来保障其与第三方应用平台间交互数据的
T/CAICI 91—2024
30
安全性。GBA 认证能力开放平台应支持第三方应用设置对称密钥和非对称密钥,第三方应用可先加密
请求数据,再对加密后的密文进行签名,确保内容不被篡改。
GBA 认证能力开放平台应支持第三方应用设置IP 白名单,启用后,只有通过白名单中的IP 才能
访问GBA认证能力开放平台。
在第三方应用平台向GBA 认证能力开放平台申请令牌、刷新令牌、查询用户身份信息时,应支持
第三方应用选择其采用的安全级别,包括是否启用对称加密、是否启用非对称加密、是否启用IP 白名
单等。
评论