2025年金融行业科技部开发员API接口文档手册.docxVIP

2025年金融行业科技部开发员API接口文档手册

第1章基础认证与访问控制

1.1统一身份认证接口定义

本章旨在规范金融科技部开发员在2025年版本中调用统一身份认证服务的标准接口，确保所有开发行为基于可信的凭证体系。本接口集定义了核心认证动作，包括获取令牌、刷新令牌及验证签名，其设计遵循金融行业高可用与高安全的双重标准。

获取用户身份令牌（GetUserToken）是系统启动后的首要动作，该接口接收用户名、密码及验证码参数，返回包含JWT签名的访问令牌，用于后续所有跨域请求的身份携带。若用户账户处于“临时登录”状态，则必须调用刷新令牌接口（RefreshToken）将长期有效的安全令牌替换为新的短期令牌，以解决会话失效问题。

在接口参数中，必须严格区分“普通用户”与“超级管理员”两种角色，超级管理员接口需额外传递“管理员标识”字段，以触发更严格的鉴权校验逻辑。接口响应体中需包含“令牌类型”、“过期时间戳”及“签发机构ID，开发者需解析其中的机构ID以确认该令牌是否来自当前金融科技部指定的可信签发源。对于高频交易场景，系统需支持“令牌预签名”机制，即在用户未登录时，由系统根据用户行为特征预部分签名的临时令牌，供前端快速交互使用。

所有调用均需在HTTP401Unauthorized状态码下触发重定向流程，引导用户重新输入认证信息，同时记录失