MH_T 3032-2023 民航统一认证接口规范.pdf

ICS 35.240.60 CCS L 67 MH 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准 MH/T 30322023 民航统一认证接口规范 Specification of civil aviation unified authentication interface 2023-07-21 发布 2023-08-01 实施 中国民用航空局 发 布 学兔兔 标准下载学兔兔 标准下载MH/T 30322023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 概述.1 统一认证平台（4A）接口.2 统一身份认证系统（2A）接口.2 6 统一认证平台（4A）对接要求.2 总体要求.2 接入流程.2 数据接口方式.3 接口服务说明.3 7 统一身份认证系统（2A）对接要求.9 总体要求.9 接入流程.9 实名核验服务.12 认证服务接口 SDK.18 用户中心 SDK.22 散列函数服务.24 附录 A（规范性）统一认证平台（4A）代码集.27 A.1 验证票据返回码.27 A.2 统一认证平台（4A）返回码.27 附录 B（规范性）统一身份认证系统（2A）代码集.29 B.1 统一身份认证系统（2A）返回码.29 B.2 统一身份认证系统（2A）实名核验等级.33 B.3 统一身份认证系统（2A）证件类型.34 B.4 统一身份认证系统（2A）自然人数据结构.34 B.5 统一身份认证系统（2A）企业法人数据结构.34 B.6 统一身份认证系统（2A）法人类型.35 B.7 统一身份认证系统（2A）法人账号信息.35 B.8 统一身份认证系统（2A）TOKEN 数据结构.36 B.9 统一身份认证系统（2A）身份识别码类型.36 B.10 统一身份认证系统（2A）AuthResult 类数据格式.37 MH学兔兔 标准下载MH/T 30322023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国民用航空局综合司提出。本文件由中国民航科学技术研究院归口。本文件起草单位：中国民用航空局信息中心。本文件主要起草人：孙立华、曾曦、朱伯宇、曹媛、汤琰、裴勇、刘建、李欣莹、邢伟、庞湃、马晓晨、闫帅。学兔兔 标准下载MH/T 30322023 1 民航统一认证接口规范 1 范围 本文件规定了中国民用航空局（以下简称“民航局”）各政务信息系统对接民航局信息中心统一认证平台（包括认证Authentication、授权Authorization、账号Accounting、审计Audit，简称4A）和面向社会公众（自然人或法人）的统一身份认证系统（包括认证Authentication、账号Accounting，简称2A）的接入模式、接入流程和接口定义。本文件适用于民航各政务信息系统之间，以及民航各政务信息系统与国家政务服务平台间统一认证的应用过程。2 规范性引用文件 本文件没有规范性引用文件。3 术语和定义 下列术语和定义适用于本文件。自然人 natural person 自然人是基于出生而取得民事主体资格的人，其外延包括本国公民、港澳台居民、外国公民和无国籍人等。法人 legal person 具有民事权利能力和民事行为能力，依法独立享有民事权利和承担民事义务的组织。信任传递 trust transitivity 实现用户、业务系统的强身份鉴别，跨域条件下的信任传递。本标准中特指在统一身份认证系统（2A）中，将某个政务系统的已登录身份传递到另一个系统完成登录的过程。单点登录 single sign on 当用户访问多个政务信息系统时，只需提交一次认证信息就可访问多个政务信息系统。令牌 token 认证子系统产生的，用于标识用户的登录身份信息。注：在统一身份认证体系中，用户登录会话与令牌相绑定。票据 ticket 基于随机数的一次性会话验证凭据，用于验证通讯请求的合法性。4 缩略语 下列缩略语适用于本文件。HTTP 超文本传输协议（Hyper Text Transfer Protocol）URL 统一资源定位器（Uniform Resource Locator）SDK 软件开发工具包（Software Development Kit）5 概述 MH学兔兔 标准下载MH/T 30322023 2 统一认证平台（4A）接口 统一认证平台（4A）接口面向民航局各政务信息系统的业务人员，采用认证、授权、账号、审计的“4A”管理，融合集中认证管理、集中权限管理、集中帐号管理、集中审计管理四要素，实现统一认证平台与民航局各政务信息系统间的单点登录。该接口适用于民航局统一认证平台门户网站单点登录到民航局各政务信息系统的使用场景。统一认证平台到民航局各政务信息系统的数据同步方向为正向，反之为逆向。民航局各政务信息系统采用票据的方式接入统一认证平台（4A），实现从统一认证门户跳转至民航局各政务信息系统、并有选择地实现机构和账号的正向和逆向数据同步。统一身份认证系统（2A）接口 统一身份认证系统（2A）接口面向社会公众，采用账号和认证的“2A”管理，实现社会公众登录民航局各政务信息系统办理相关服务事项。该接口基于国家政务服务平台标准建设，适用于民航局各政务信息系统与面向社会公众提供在线办理服务系统对接的场景，和民航局各政务信息系统与自然人、法人注册系统对接的场景，为民航局各政务信息系统对接以上系统提供用户管理、用户实名核验、用户数据汇聚、单点登录等能力。该接口支持自然人或企业法人通过统一身份认证系统登录到民航局各政务信息系统，并支持自然人或企业法人与国家政务服务平台身份信息互信互认。统一身份认证系统有统一模式和协同模式两种对接方式，民航局各政务信息系统对接时需选择其中一种对接模式。6 统一认证平台（4A）对接要求 总体要求 统一认证平台（4A）对接的总体要求如下：a)统一认证平台（4A）采用票据方式单点登录到民航局各政务信息系统；b)政务信息系统集成统一认证平台（4A）提供的 SDK 开发包；c)政务信息系统拦截统一认证平台（4A）到该系统的票据登录请求，解密票据字段定义为 pname；d)解密票据的方法：public static String com.linkage.util.EncodeUtil.decodeURL(String pname)；e)解密后的票据参数分项见表 1；f)政务信息系统将统一认证平台的 pname 解析完成后得到票据 ticket，并将该票据发送至统一认证平台票据服务进行验证。表1 解密后的票据信息 参数名称 类型和长度 必填 说明 描述 MAIN_ID String(64)是 当前登录统一认证平台的帐号 此帐号为统一认证平台的登录账号区别于政务信息系统的账号 op String(64)是 表示经统一认证平台单点登录 此参数可没有，根据应用实际情况设置 loginName String(64)是 登录政务信息系统的帐号 此帐号为政务信息系统的账号区别于登录统一认证平台的账号 ticket String(200)是 当前票据 政务信息系统需要将此票据发回单点登录服务器进行验证 接入流程 学兔兔 标准下载MH/T 30322023 3 6.2.1 流程图 统一认证平台（4A）接口接入流程见图1。统一认证门户统一认证门户浏览器浏览器应用系统应用系统票据中心+统一认证中心票据中心+统一认证中心a)登录统一认证门户b)返回成功登录e)页面链接民航局各政务信息系统，提交帐号和票据f)验证帐号和票据c)申请票据d)返回票据g)返回验证结果 图1 统一认证平台（4A）接口接入流程 6.2.2 流程说明 接入统一认证平台（4A）接口应符合如下流程。a)用户通过浏览器登录统一认证平台（4A）门户。b)统一认证平台（4A）门户向用户返回统一认证平台（4A）门户登录结果。c)如登录成功，统一认证平台（4A）门户向票据中心申请票据。d)票据中心向统一认证平台（4A）门户返回票据。e)统一认证平台（4A）门户使用政务信息系统的链接地址，并附带用户账号和票据登录到政务信息系统。访问地址示例如下：示例：http:/政务信息系统 URL/login.do?pname=c3RhZmZOYW1lPUFBNjAwMDAzJk1BSU5fSUQ9UzBfcWlhbmdlJnRpY2tldD0yYzExZDQyYy00NTA5LTAwMTYzNTd5STZ0NjRIVTVqcGlZbFk4dkQ1dFE9PQ%3D%3Dz%26%26%26cf4。f)政务信息系统收到票据后，对票据进行解密，并向票据中心验证票据真实性；同时，政务信息系统对收到的用户账号有效性进行验证。解密后的票据信息见表 1。g)票据中心向政务信息系统返回验证结果，如结果正确，则用户登录成功；如结果错误，则用户登录失败。验证票据的返回码应符合附录 A 中表 A.1 的规定。数据接口方式 民航局各政务信息系统与统一认证平台（4A）数据接口采用轻量级的rest api+JSON POST方式实现数据的传输。接口服务说明 6.4.1 政务信息系统验证票据服务 民航局各政务信息系统向票据中心验证用户登录请求时携带票据。具体接口调用方式如下：a)调用地址：http:/统一认证平台 URL/pname；b)接口参数说明见表 2；表2 验证票据参数说明 类别 参数 必填 数据类型 说明 入参 pracct 是 字符串 主账号 MH学兔兔 标准下载MH/T 30322023 4 表2 验证票据参数说明（续）类别 参数 必填 数据类型 说明 入参 slacct 是 字符串 从账号 ticket 是 字符串 票据，ticket由政务信息系统通过解密pname获得，解密方法在统一认证平台提供的SDK包里：public static String com.linkage.util.EncodeUtil.decodeURL(String pname)clientIp 是 字符串 登录资源地址：在统一认证平台（4A）管理台中配置的政务信息系统单点登录地址 clientPort 是 字符串 登录资源端口号：在统一认证平台（4A）管理台中配置的政务信息系统服务端口号 userIp 是 字符串 用户地址：在统一认证平台（4A）管理台中配置的政务信息系统服务器地址 出参 resultCode 是 字符串 结果代码，应符合附录A中表A.1的规定 resultMsg 是 字符串 结果提示信息 userName 是 字符串 登录系统帐号名 c)验证票据返回码应符合附录 A 中表 A.1 的规定。示例：pname 解密方法 decodeURL public static String decodeURL(String enCode)if(enCode!=null)String splitStr=enCode.split(z&);if(splitStr!=null&splitStr.length 1)try String encodeUrl=splitStr0;if(encodeUrl!=null&getMd5(encodeUrl).equals(splitStr1)return new String(BaseEncode.decode(encodeUrl),UTF-8);return;catch(UnsupportedEncodingException var3)LOGGER.error(var3.getMessage(),var3);return;return;6.4.2 统一认证平台（4A）到政务信息系统用户名密码登录认证服务 统一认证平台（4A）向政务信息系统发起用户名密码登录认证请求，该接口为统一认证平台（4A）到政务信息系统验证登录用户名密码的合法性提供验证服务。具体接口调用方式如下：a)调用地址：http:/政务信