致远OA二次开发:Rest用户配置与Token获取实战指南
1. 认识致远OA的Rest用户机制
第一次接触致远OA的Rest用户功能时,我完全被各种专业术语搞懵了。简单来说,Rest用户就是致远OA为外部系统设计的"专用账号",相当于给第三方系统发了一张VIP通行证。这张通行证的核心就是Token——一串看似随机但极其重要的字符。
在A8版本中,致远OA完整支持Rest用户功能。你可以把它想象成一家高级会所:A8版本是VIP会员制,外部系统通过Rest用户认证后就能享受各种服务(调用接口);而A6版本更像是家庭聚会,官方不提供会员服务(阉割了Rest用户功能),但如果你自己准备了食物(自定义接口),还是可以招待客人的。
这里有个关键点经常被忽略:Rest用户必须与组织架构中的真实用户绑定。就像公司发门禁卡,卡本身是通用的,但必须关联到具体员工。绑定的是用户的登录名(loginName),这个细节后面测试时会非常重要。
2. 手把手配置Rest用户
配置Rest用户的过程我走过不少弯路,这里把最稳妥的步骤分享给大家。首先用system账号登录,这个账号相当于系统的"万能钥匙"。找到"信息集成配置"菜单时要注意,不同版本位置可能略有差异,就像超市偶尔会调整货架位置一样。
具体操作路径:登录后台 → 系统管理 → 信息集成配置 → REST用户管理。在这里点击"新建",会出现三个关键字段:
- 用户名:相当于Rest用户的身份证(建议用有意义的命名,如"ERP系统")
- 密码:这个密码是给第三方系统用的,和OA登录密码无关
- 绑定用户:必须选择组织架构中的真实用户(建议专门创建一个服务账号)
特别注意:创建完成后一定要点击右上角的"授权"按钮,勾选全部模块权限。我有次深夜调试两小时才发现问题出在漏了这步,就像给了门禁卡但忘记开通楼层权限。
3. 获取Token的实战技巧
拿到Rest用户凭证后,真正的挑战才开始。获取Token的接口地址通常是:
http://[OA地址]/seeyon/rest/token但这里有个坑:很多开发者会忽略端口号。致远OA默认使用8888端口,但实际部署可能不同。我有次在客户现场调试,发现他们的IT把端口改成了8080,这个细节值得注意。
用Postman测试时,要设置:
- 请求方式:POST
- Headers:Content-Type = application/json
- Body参数示例:
{ "userName": "rest用户名", "password": "rest用户密码", "loginName": "绑定的真实用户登录名" }成功响应会返回类似这样的数据:
{ "id": "49c9d2cd-47fe-4d3a-ab37-313ff01d6bde", "bindingUser": { "name": "张三", "loginState": "logging" } }那个"id"就是宝贵的Token,它的有效期默认是2小时。有个实用技巧:可以在OA的日志管理中查看Token使用记录,这对调试非常有帮助。
4. 版本差异与常见问题排查
A6和A8版本的差异就像标准版和青春版手机。A6虽然官方不支持Rest用户,但通过"免登录"技术变通实现类似功能。具体做法是:
- 开发自定义Servlet
- 配置web.xml
- 使用RSA加密参数 这种方法相当于走后门,需要开发人员对致远OA架构比较熟悉。
常见问题排查清单:
- 返回"用户不存在":检查绑定用户的loginName是否准确(区分大小写)
- 返回"密码错误":确认使用的是Rest用户密码而非OA登录密码
- 返回"无权限":检查是否完成模块授权
- 接口404:确认URL中的/seeyon/路径是否正确(有些部署会改上下文路径)
调试时可以先用浏览器访问:
http://[OA地址]/seeyon/rest/check如果返回"REST Service is running."说明服务正常,否则需要检查OA服务状态。
5. Token的使用与安全建议
拿到Token后使用很简单,在任何接口URL后追加&token=xxxx参数即可。但这里有三个安全建议:
- Token传输一定要用HTTPS,明文的Token就像把密码写在便签上
- 建议开发Token自动刷新机制,不要等过期再重新获取
- 定期审计Rest用户使用日志
对于高安全要求的场景,可以结合IP白名单限制。我在金融行业项目中就遇到过这样的需求:除了Token校验,还要求调用方IP必须在预置列表中。
最后分享一个真实案例:某企业ERP系统凌晨同步失败,排查发现是Token过期。后来我们采用双Token轮换机制,主Token过期前用副Token获取新Token,完美解决了这个问题。这种细节在实际开发中经常遇到,希望我的经验能帮你少走弯路。