ORCID Les intégrations utilisent « OAuth à trois étapes » pour authentifier les utilisateurs et demander l'autorisation d'interagir avec leurs enregistrements. Toute intégration peut demander des autorisations de lecture à l'aide de l'API publique. ORCID les membres peuvent utiliser l'API des membres pour demander des autorisations de mise à jour. Cela fonctionne comme ceci :
- Vous créez un lien spécial
- Lorsqu'il clique dessus, l'utilisateur est envoyé vers ORCID
- ORCID demande à l'utilisateur de se connecter
- ORCID demande à l'utilisateur d'accorder l'autorisation à votre application
- ORCID renvoie l'utilisateur à votre système avec un code d'autorisation
- Votre système échange ce code contre un jeton d'accès
L'URL d'autorisation personnalisée comprend les informations de votre client, ainsi que les «portées» qui spécifient les zones spécifiques de leur dossier auxquelles vous souhaitez accéder. Après s'être connecté, l'utilisateur autorise la connexion avec votre système et est renvoyé à votre page d'accueil avec un code d'autorisation. Ce code est ensuite utilisé pour obtenir leur ORCID iD ainsi qu'un jeton d'accès valide pour les étendues demandées.
Créez le lien d'autorisation et obtenez un code d'autorisation
Vous créez votre lien d'autorisation en spécifiant l'ID client de vos informations d'identification API et la page de destination associée (URI de redirection). Vous choisissez les autorisations à demander en définissant le paramètre scope.
L'exemple ci-dessous demande l'autorisation de lire des données à accès limité sur le ORCID serveur de test sandbox. Dans le monde réel, vous affichez ce lien sur votre site Web ou l'incluez dans un e-mail lorsque vous demandez à l'utilisateur de s'authentifier et d'autoriser. Cependant, à des fins de test, vous pouvez simplement le coller dans votre navigateur Web. Remplacez les données entre crochets par les informations de votre client et assurez-vous de supprimer les crochets !
https://sandbox.orcid.org/oauth/authorize?client_id=[Your client ID]&response_type=code&scope=/read-limited&redirect_uri=[Your landing page]
Un utilisateur a cliqué sur le lien, connecté à ORCID et accordés des autorisations, ils sont redirigés vers votre site, comme ceci:
https://[Your landing page]?code=Q70Y3A
Échangez le code d'autorisation contre un ORCID iD et jeton d'accès
Vous devez immédiatement échanger le code d'autorisation pour le ORCID iD et jeton d'accès. Le code d'autorisation expire lors de son utilisation. La requête ressemble à ceci et ne peut pas être effectué dans un navigateur Web, il doit être réalisé par votre serveur.
URL=https://sandbox.orcid.org/oauth/token
HEADER: Accept: application/json
HEADER: Content-Type: application/x-www-form-urlencoded
METHOD: POST
DATA:
client_id=[Your client ID]
client_secret=[Your client secret]
grant_type=authorization_code
code=Six-digit code
redirect_uri=[Your landing page]
ORCID renverra alors le chercheur authentifié ORCID iD et un jeton d'accès au format JSON :
{"access_token":"f5af9f51-07e6-4332-8f1a-c0c11c1e3728","token_type":"bearer",
"refresh_token":"f725f747-3a65-49f6-a231-3e8944ce464d","expires_in":631138518,
"scope":"/read-limited","name":"Sofia Garcia","orcid":"0000-0001-2345-6789"}
Les jetons d'accès ont une longue durée de vie par défaut et expirent 20 ans après leur émission. Le jeton peut être utilisé plusieurs fois avant son expiration.
Utilisez le jeton d'accès
Les jetons d'accès à 3 pattes sont liés à des ORCID enregistrement. Pour les utiliser, vous les incluez dans les requêtes API que vous faites pour lire ou mettre à jour cet enregistrement.