Il tutorial descrive i passaggi per autenticare un ORCID ID. Può essere completato utilizzando sia il la percezione or API membro. Esamina i passaggi per recuperare un file verificato ORCID iD, che può quindi essere archiviato nel database del sistema. Sono disponibili due opzioni: OAuth a 3 vie (per autorizzazioni di aggiornamento di lunga durata) e OAuth implicito (per autorizzazioni di sola lettura a breve termine).
Ottieni alcune credenziali del cliente
Le credenziali del cliente sono il nome utente e la password che la tua applicazione/sito web utilizzerà per accedere al ORCID API. Chiunque può registrarsi per le credenziali API pubbliche di sola lettura, ORCID i membri possono registrarsi per l'API dei membri.
Consigliamo agli sviluppatori di testare l'API pubblica nel server di test sandbox prima di utilizzare la versione di produzione. Di seguito sono riportati i passaggi su come registrarsi per le credenziali API pubbliche sia nell'ambiente Sandbox che in quello di produzione.
- Accedi al tuo ORCID disco:
Server di produzione: https://orcid.org/signin
Server di test sandbox: https://sandbox.orcid.org/signin - Clicca sul tuo nome nell'angolo in alto a destra
- Clicchi Strumenti di sviluppo dall'opzione di menu
Nota: Per accedere agli Strumenti per sviluppatori, devi verificare il tuo indirizzo email. Se non hai ancora verificato il tuo indirizzo email, ti verrà chiesto di farlo prima di poterti registrare per le credenziali API pubbliche - Leggi e accetta il 'ORCID Termini di servizio delle API pubbliche
- Fai clic su "Registrati per ORCID Pulsante "Credenziali API pubbliche".

Completamento del modulo dei dettagli dell'applicazione
- Dopo esserti registrato per le tue credenziali API pubbliche, verrai reindirizzato a Strumenti per sviluppatori (https://orcid.org/developer-tools or https://sandbox.orcid.org/developer-tools).
- È necessario completare il modulo dei dettagli della domanda presentato per registrare una nuova domanda.
- Nome: il nome della tua applicazione. Questo verrà mostrato agli utenti quando concedono alla tua applicazione l'autorizzazione per ottenere il loro ORCID iD, e verrà visualizzato nella loro Elenco delle organizzazioni affidabili. Ti consigliamo di utilizzare il nome della tua organizzazione o servizio (ad es. il nome di una rivista).
- URL dell'applicazione: Il sito web che l'utente può visitare per saperne di più sulla tua applicazione. Questo verrà visualizzato anche nel loro Elenco delle organizzazioni affidabili.
- Descrizione dell'applicazione: Informazioni sull'applicazione che stai sviluppando e su come utilizzerai le ORCID ID. Questo verrà mostrato agli utenti nella schermata OAuth.

Aggiunta URI di reindirizzamento
Una volta che l'utente ha autorizzato la tua applicazione, verrà restituito a un URI da te specificato. È necessario fornire questi URI in anticipo o gli utenti dell'integrazione riscontreranno un errore.
- Inserisci il tuo URI di reindirizzamento nella casella fornita
- Se devi inserire più di un URI di reindirizzamento, fai clic su "Aggiungi un altro URI di reindirizzamento"
Nota bene:
- Solo URI HTTPS sono accettati in produzione
- Domini registrati MUST corrispondono esattamente ai domini utilizzati, compresi i sottodomini
- Registra tutti gli URI di reindirizzamento completamente ove possibile. Questa è l'opzione più sicura e ciò che consigliamo. Per ulteriori informazioni sugli URI di reindirizzamento, consultare il nostro Domande frequenti sull'URI di reindirizzamento
Salvataggio della tua applicazione
Dopo aver completato il modulo di domanda e aver aggiunto i tuoi URI di reindirizzamento, puoi salvare la tua domanda.
- Fai clic su "Salva la mia domanda e genera il mio ID cliente e segreto"
Verrai reindirizzato alla pagina degli strumenti per sviluppatori che ora includerà le tue credenziali del client API pubblica

Aggiornamento delle tue credenziali
Apportare una modifica alle informazioni sulla tua domanda è molto semplice.
- Modifica le informazioni pertinenti e fai clic su "Salva domanda"
Usa le tue credenziali
Ora che hai le tue credenziali, è ora di iniziare a utilizzare il ORCID API pubblica!
Tieni presente che possiamo trasferire le tue credenziali all'API dei membri se diventi un ORCID membro in futuro.
Puoi osservare le richiedi le credenziali dell'API membro sandbox per creare e testare la tua applicazione. Queste credenziali ti consentono di effettuare chiamate all'API del membro premium sandbox per leggere, scrivere e aggiornare ORCID record. L'accesso all'ambiente di test sandbox è disponibile gratuitamente per chiunque, anche se non sei un ORCID organizzazione membro.
Note:: Se stai utilizzando un ORCID sistema di fornitore di servizi certificato che già supporta ORCID, non è necessario registrarsi per ottenere le credenziali API sandbox a meno che non si desideri provare il ORCID funzionalità di integrazione all'interno dell'ambiente Sandbox.
La sandbox ti consente di creare account utente di prova e sviluppare la tua integrazione senza doversi preoccupare di influenzare i dati sul live (produzione) ORCID Registro. La sandbox si comporta allo stesso modo della produzione ORCID Registro con alcune eccezioni.
Creazione di un account di prova
Per testare il ORCID API e chiamate API, come la lettura e l'aggiunta di informazioni a un file ORCID record, dovrai anche creare un test ORCID registrare nella sandbox. Questo può essere fatto tramite l'interfaccia utente, proprio come nella produzione ORCID Registro. Vai a https://sandbox.orcid.org/register e registrati per un account.
Indirizzi di posta elettronica
Il server sandbox invia solo email a Mailinator (@mailinator.com) indirizzi e-mail per non inviare spam ai server di posta involontariamente. Non riceverai un'e-mail di verifica o una notifica di reimpostazione della password a meno che tu non utilizzi un indirizzo @mailinator.com e la verifica è necessaria per apportare modifiche manuali ai record sandbox. Scopri di più sulle loro caselle di posta pubbliche gratuite <a href="https://italymeetshollywood.com/wp-content/uploads/2025/02/Catalogo_GDC_2025_web.pdf">questo link</a> Se non si desidera utilizzare a Mailinator indirizzo, quindi prendi nota del tuo nome utente e password (poiché li utilizzerai per concedere l'autorizzazione alla tua applicazione durante il test) e contattaci per richiedere assistenza con la verifica.
Mailinator è un servizio di posta elettronica che ha un servizio pubblico gratuito e un servizio privato a pagamento. Per i test è possibile utilizzare il servizio pubblico completamente gratuito. Scopri di più sui loro livelli qui.
Mailinator è un servizio di terze parti che non è gestito o mantenuto da ORCID. Ti consigliamo di rivedere il funzionamento di questo servizio e le sue limitazioni prima di utilizzare questi indirizzi.
Registra i tuoi URL di reindirizzamento
Una volta effettuato l'accesso, gli utenti vengono inviati a un URL che specifichi come parte della registrazione di un cliente.
Cosa sono gli URI di reindirizzamento e come vengono utilizzati?
Gli URI di reindirizzamento vengono utilizzati dal nostro servizio di autenticazione OAuth come misura di sicurezza. ORCID invierà solo gli utenti di autenticazione agli URI registrati dal client che richiede l'autenticazione. Ciò impedisce ai servizi di impersonarsi a vicenda.
Tieni presente che solo URI HTTPS sono accettati in produzione. Puoi testare utilizzando gli URI HTTP ma dovrai registrarti URI HTTPS quando richiedi le credenziali dell'API del membro di produzione.
Come abbiniamo gli URI di reindirizzamento?
- DEVI registrare i sottodomini come URI separati. https://anythingelse.thirdparty.com non funzionerà.
- È incoraggiata la registrazione completa di tutti gli URI di reindirizzamento, incluso il percorso, è ciò che fanno la maggior parte delle terze parti ed è l'opzione più sicura.
- Se l'app client è registrata con un uri di reindirizzamento che è solo il nome host, è possibile utilizzare qualsiasi uri di reindirizzamento su quell'host. Quindi, ad esempio, se è registrato il seguente reindirizzamento uri: https://thirdparty.com quindi tutti i seguenti redirect_uris funzioneranno:
- https://thirdparty.com/oauth/callback1
- https://thirdparty.com/callback2
- https://thirdparty.com/anything-else-as-long-as-the-host-is-the-same
Tuttavia, https://anythingelse.thirdparty.com non funzionerà. sentirti MUST registra i sottodomini come URI separati.
Cosa succede se il mio URI di reindirizzamento non è corretto?
Utenti inviati per autenticarsi a ORCID con URI di reindirizzamento errati verrà visualizzato un messaggio di errore simile a questo:
Gestione degli URI di reindirizzamento per i membri
Se stai utilizzando l'API membro e richiedi modifiche ai tuoi URI di reindirizzamento, contatta il nostro team di coinvolgimento
Gestione degli URI di reindirizzamento per client pubblici
Se stai utilizzando l'API pubblica, dovrai seguire i passaggi seguenti per aggiornare l'elenco degli URI di reindirizzamento associati al tuo ORCID ID client API pubblico. Puoi farlo seguendo i passaggi seguenti:
- Accedi al tuo ORCID record
- Fai clic sul tuo nome nell'angolo destro
- Seleziona gli strumenti per sviluppatori
- Fare clic sulla matita di modifica accanto al nome del cliente
- Modifica un URI di reindirizzamento esistente o fai clic su "Aggiungi un altro URI di reindirizzamento" modificane uno esistente
- Una volta apportate le modifiche, è necessario fare clic sull'icona di salvataggio
Solo URI HTTPS sono accettati in produzione. Puoi eseguire il test utilizzando gli URI http, ma dovrai registrare gli URI HTTPS quando richiedi le credenziali dell'API del membro di produzione.
Implementa OAuth
Di seguito spieghiamo i tre 'sapori' di OAuth supportati da ORCID. La maggior parte dei linguaggi di programmazione dispone di librerie OAuth e/o OpenID che semplificano l'integrazione.
OAuth a 3 vie
Questo è il modo standard per autenticare un utente ORCID iD e può essere utilizzato per ottenere autorizzazioni di aggiornamento di lunga durata insieme a quelle autenticate ORCID ID.
ORCID integrazioni utilizzano "OAuth a 3 vie" per autenticare gli utenti e richiedere l'autorizzazione per interagire con i loro record. Qualsiasi integrazione può richiedere autorizzazioni di lettura utilizzando l'API pubblica. ORCID i membri possono utilizzare l'API dei membri per richiedere le autorizzazioni di aggiornamento. Funziona così:
- Crei un collegamento speciale
- Quando si fa clic, l'utente viene inviato a ORCID
- ORCID chiede all'utente di accedere
- ORCID chiede all'utente di concedere l'autorizzazione alla tua applicazione
- ORCID rimanda l'utente al tuo sistema con un codice di autorizzazione
- Il tuo sistema scambia quel codice con un token di accesso
L'URL di autorizzazione personalizzato include le informazioni del tuo cliente, nonché gli "ambito" che specificano le aree specifiche del loro record a cui desideri accedere. Dopo l'accesso, l'utente autorizza la connessione con il tuo sistema e viene restituito alla tua pagina di destinazione insieme a un codice di autorizzazione. Questo codice viene quindi utilizzato per ottenere il loro ORCID iD insieme a un token di accesso valido per gli ambiti richiesti.
Puoi creare il tuo collegamento di autorizzazione specificando l'ID client delle tue credenziali API e la landing page associata (URI di reindirizzamento). Puoi scegliere quali autorizzazioni richiedere impostando il parametro di ambito.
L'esempio seguente richiede il permesso di leggere i dati ad accesso limitato sul ORCID server di test sandbox. Nel mondo reale visualizzi questo collegamento sul tuo sito Web o lo includi in un'e-mail quando chiedi all'utente di autenticarsi e autorizzare. Tuttavia, a scopo di test, puoi semplicemente incollarlo nel tuo browser web. Sostituisci i dati tra parentesi con le informazioni del tuo cliente e assicurati di rimuovere le parentesi quadre!
https://sandbox.orcid.org/oauth/authorize?client_id=[Your client ID]&response_type=code&scope=/read-limited&redirect_uri=[Your landing page]
Una volta che l'utente ha fatto clic sul collegamento, ha effettuato l'accesso a ORCID e le autorizzazioni concesse vengono reindirizzate al tuo sito, in questo modo:
https://[Your landing page]?code=Q70Y3A
È necessario scambiare immediatamente il codice di autorizzazione per il ORCID iD e token di accesso. Il codice di autorizzazione scade al momento dell'uso. La richiesta è simile a questa e non può essere fatto in un browser web, deve essere creato dal tuo server.
URL=https://sandbox.orcid.org/oauth/token
HEADER: Accept: application/json
HEADER: Content-Type: application/x-www-form-urlencoded
METHOD: POST
DATA:
client_id=[Your client ID]
client_secret=[Your client secret]
grant_type=authorization_code
code=Six-digit code
redirect_uri=[Your landing page]
ORCID restituirà quindi l'autenticazione del ricercatore ORCID iD e un token di accesso in formato JSON:
{"access_token":"f5af9f51-07e6-4332-8f1a-c0c11c1e3728","token_type":"bearer",
"refresh_token":"f725f747-3a65-49f6-a231-3e8944ce464d","expires_in":631138518,
"scope":"/read-limited","name":"Sofia Garcia","orcid":"0000-0001-2345-6789"}
I token di accesso sono di lunga durata per impostazione predefinita e scadono 20 anni dopo l'emissione. Il token può essere utilizzato più volte prima della scadenza.
Usa il token di accesso
I token di accesso a 3 gambe sono collegati a specifici ORCID disco. Per usarli, li includi nelle richieste API che fai per leggere o aggiornare quel record.
OAuth implicito
Questo è il modo incentrato sul browser per autenticare un utente ORCID iD per l'utilizzo da parte di applicazioni basate su browser che non richiedono autorizzazioni di aggiornamento.
OAuth implicito è una versione più leggera di OAuth progettata per essere utilizzata da sistemi che non dispongono o non desiderano utilizzare componenti lato server. L'OAuth implicito può essere implementato interamente nel browser utilizzando solo javascript. È disponibile per membri e non membri e funziona in questo modo:
- Crei un collegamento speciale
- Quando si fa clic, l'utente viene inviato a ORCID
- ORCID chiede all'utente di firmare i
- ORCID chiede all'utente di concedere l'autorizzazione alla tua applicazione
- ORCID rimanda l'utente al tuo sistema con il suo ORCID iD, un token di accesso e un token ID.
- Il tuo sistema estrae e memorizza gli autenticati ORCID iD dalla risposta.
Per motivi di sicurezza, quando si utilizza OAuth implicito, ORCID non restituirà token di accesso con autorizzazioni di aggiornamento.
Flusso implicito
Il flusso implicito è progettato in modo che i client non debbano utilizzare la loro chiave segreta per avviare ORCID accedi. La sicurezza viene applicata limitando i client ai loro redirect_urls registrati. Questo livello di sicurezza inferiore significa che ORCID supporta solo gli ambiti /authenticate e openid quando si usa il flusso implicito. I token sono anche di breve durata, con una durata di 10 minuti. Questo flusso è consigliato per le applicazioni lato client che non hanno accesso a un server di back-end, ad esempio applicazioni telefoniche o applicazioni web javascript a pagina singola.
https://localhost/#access_token=24c11342-f5da-4cf9-94a4-f8a72a30da00&token_type=bearer&expires_in=599&tokenVersion=1&persistent=false&id_token=eyJraWQiOiJxYS1vcmNpZC1vcmctcjlhZmw3cWY2aG2c5bmdzenU1bnQ3Z3pmMGVhNmkiLCJhbGciOiJSUzI1NiJ9.eyJhdF9oYXNoIjoiMW52bXZBbVdwaVd0Z3ZKZW1DQmVYUSIsImF1ZCI6IkFQUC02TEtJSjNJNUIxQzRZSVFQIiwic3ViIjoiMDAwMC0wMDAyLTUwNjItMjIwOSIsImF1dGhfdGltZSI6MTUwNTk4Nzg2MiwiaXNzIjoiaHR0cHM6XC9cL29yY2lkLm9yZyIsIm5hbWUiOiJNciBDcmVkaXQgTmFtZSIsImV4cCI6MTUwNTk4ODQ2MywiZ2l2ZW5fbmFtZSI6IlRvbSIsImlhdCI6MTUwNTk4Nzg2Mywibm9uY2UiOiJ3aGF0ZXZlciIsImZhbWlseV9uYW1lIjoiRGVtIiwianRpIjoiY2U0YzlmNWUtNTBkNC00ZjhiLTliYzItMmViMTI0ZDVkNmNhIn0.hhhts2-4-ibjXPW6wEsFRaNqV_A-vTz2JFloYn7mS1jzQt3xuHiSaSIiXg3rpnt1RojF_yhcvE9Xe4SOtYimxxVycpjcm8yT_-7lUSrc46UCt9qW6gV7L7KQyKDjNl23wVwIifpRD2JSnx6WbuC0GhAxB5-2ynj6EbeEEcYjAy2tNwG-wcVlnfJLyddYDe8AI_RFhq7HrY4OByA91hiYvHzZ8VzoRW1s4CTCFurA7DoyQfCbeSxdfBuDQbjAzXuZB5-jD1k3WnjqVHrof1LHEPTFV4GQV-pDRmkUwspsPYxsJyKpKWSG_ONk57E_Ba--RqEcE1ZNNDUYHXAtiRnM3w
vedere il nostro documentazione tecnica per maggiori informazioni.
Apri ID
OpenID è basato su OAuth e offre alcune funzionalità aggiuntive.
OpenID Connect 1.0 è un semplice livello di identità al di sopra del protocollo OAuth 2.0. Integra i flussi di autenticazione OAuth esistenti e fornisce informazioni sugli utenti ai client in modo ben descritto.
OpenID connect è un modo standardizzato di implementare OAuth e condividere informazioni sugli utenti autenticati. Sarà ora possibile configurare i servizi da utilizzare ORCID "out of the box" insieme ad altri provider di OpenID connect conformi agli standard. OpenID connect fornisce anche token ID condivisibili, che sono oggetti firmati che possono dimostrare che un utente è stato autenticato tramite ORCID in un momento specifico. Questi token possono essere utilizzati dagli elementi dell'interfaccia utente per mantenere le sessioni utente.
ORCID supporta il profilo di conformità Basic OpenID Provider, che è un'estensione del flusso del codice di autorizzazione OAuth. ORCID supporta anche il flusso di token implicito per gli ambiti "/authenticate" e "openid".
Ciò significa che ORCID:
- Incorpora token ID firmati all'interno delle risposte token per i codici di autorizzazione generati con l'ambito 'openid'
- Supporta il flusso implicito quando si utilizzano response_types 'token' o 'token id_token' e l'ambito 'openid'.
- Supporta i parametri 'prompt', 'nonce' e 'max_age' per le richieste di autorizzazione che includono l'ambito 'openid'.
- Supporta la scoperta di Openid Connect e gli endpoint di informazioni utente
- Supporta il campo "amr" per gli integratori che utilizzano l'API membro per le richieste di autorizzazione che includono l'ambito "openid". Questo può essere utilizzato per scoprire se un utente si è autenticato utilizzando l'autenticazione a due fattori.
L'avvio di un'autenticazione OpenID Connect funziona allo stesso modo di una normale autenticazione OAuth. Tutto ciò che è richiesto è che il client richieda l'ambito 'openid' Se si utilizza l'ambito /authenticate sostituirlo con openid, poiché autenticare e openid hanno la stessa autorizzazione solo uno o l'altro dovrebbe essere utilizzato. Se stai utilizzando altri ambiti, aggiungi openid all'elenco degli ambiti richiesti. Quando l'ambito openid è incluso, il registro restituirà un id_token all'interno della risposta del token e concederà al client l'autorizzazione per accedere all'endpoint delle informazioni utente per quell'utente.
Si noti che l'ambito 'openid' non inizia con un '/' come l'altro ORCID Ambiti API. Questo perché l'ambito 'openid' non è definito da ORCID, ma invece definito dalla specifica OpenID Connect.
vedere il nostro documentazione tecnica per maggiori informazioni.
Raccogli iD autenticati usando ORCIDWidget Java Script OAuth di
ORCID fornisce un semplice Widget Java Script che può essere utilizzato per ottenere l'autenticazione ORCID ID che utilizzano OAuth con OpenID Connect.
Tieni presente che il widget utilizza OAuth implicito, quindi non raccoglie alcuna autorizzazione di scrittura. Ciò significa che non è adatto per le integrazioni dei membri che desiderano aggiornare i record. Si prega di consultare il nostro tutorial per Aggiunta e aggiornamento dei dati su ORCID Records.