Tutorial API: Ottieni un'autenticazione ORCID iD

Consigliamo agli sviluppatori di testare l'API pubblica nel server di test sandbox prima di utilizzare la versione di produzione. Di seguito sono riportati i passaggi su come registrarsi per le credenziali API pubbliche sia nell'ambiente Sandbox che in quello di produzione.

• Accedi al tuo ORCID disco:
  Server di produzione: https://orcid.org/signin
  Server di test sandbox: https://sandbox.orcid.org/signin
• Clicca sul tuo nome nell'angolo in alto a destra
• Clicchi Strumenti di sviluppo dall'opzione di menu
  Nota: Per accedere agli Strumenti per sviluppatori, devi verificare il tuo indirizzo email. Se non hai ancora verificato il tuo indirizzo email, ti verrà chiesto di farlo prima di poterti registrare per le credenziali API pubbliche
• Leggi e accetta il 'ORCID Termini di servizio del cliente pubblico
• Fai clic su "Registrati per ORCID credenziali API pubbliche”.

Completamento del modulo dei dettagli dell'applicazione

• Dopo esserti registrato per le tue credenziali API pubbliche, verrai reindirizzato a Strumenti per sviluppatori (https://orcid.org/developer-tools or https://sandbox.orcid.org/developer-tools).
• È necessario completare il modulo dei dettagli della domanda presentato per registrare una nuova domanda.
  • Nome: il nome della tua applicazione. Questo verrà mostrato agli utenti quando concedono alla tua applicazione l'autorizzazione per ottenere il loro ORCID iD, e verrà visualizzato nella loro Elenco delle organizzazioni affidabili. Ti consigliamo di utilizzare il nome della tua organizzazione o servizio (ad es. il nome di una rivista).
  • URL dell'applicazione: Il sito web che l'utente può visitare per saperne di più sulla tua applicazione. Questo verrà visualizzato anche nel loro Elenco delle organizzazioni affidabili.
  • Descrizione dell'applicazione: Informazioni sull'applicazione che stai sviluppando e su come utilizzerai le ORCID ID. Questo verrà mostrato agli utenti nella schermata OAuth.

Aggiunta URI di reindirizzamento

Una volta che l'utente ha autorizzato la tua applicazione, verrà restituito a un URI da te specificato. È necessario fornire questi URI in anticipo o gli utenti dell'integrazione riscontreranno un errore.

• Inserisci il tuo URI di reindirizzamento nella casella fornita
• Se devi inserire più di un URI di reindirizzamento, fai clic su "Aggiungi un altro URI di reindirizzamento"

Nota bene:

• Solo URI HTTPS sono accettati in produzione
• Domini registrati MUST corrispondono esattamente ai domini utilizzati, compresi i sottodomini
• Registra tutti gli URI di reindirizzamento completamente ove possibile. Questa è l'opzione più sicura e ciò che consigliamo. Per ulteriori informazioni sugli URI di reindirizzamento, consultare il nostro Domande frequenti sull'URI di reindirizzamento

Salvataggio della tua applicazione

Dopo aver completato il modulo di domanda e aver aggiunto i tuoi URI di reindirizzamento, puoi salvare la tua domanda.

• Fai clic su "Salva la mia applicazione e genera il mio cliente". ID e segreto'

Verrai reindirizzato alla pagina degli strumenti per sviluppatori che ora includerà le tue credenziali del client API pubblica

Aggiornamento delle tue credenziali

Apportare una modifica alle informazioni sulla tua domanda è molto semplice.

• Modifica le informazioni pertinenti e fai clic su "Salva domanda"

Usa le tue credenziali

Ora che hai le tue credenziali, è ora di iniziare a utilizzare il ORCID API pubblica!

Tieni presente che possiamo trasferire le tue credenziali all'API dei membri se diventi un ORCID membro in futuro.

Puoi richiedi le credenziali dell'API membro sandbox per creare e testare la tua applicazione. Queste credenziali ti consentono di effettuare chiamate all'API del membro sandbox per leggere, scrivere e aggiornare ORCID record. L'accesso all'ambiente di test sandbox è disponibile gratuitamente per chiunque, anche se non sei un ORCID organizzazione membro.

Note:: Se stai utilizzando un sistema di terze parti che già supporta ORCID, potrebbe non essere necessario registrarsi per le credenziali dell'API sandbox. 

La sandbox ti consente di creare account utente di prova e sviluppare la tua integrazione senza doversi preoccupare di influenzare i dati sul live (produzione) ORCID Registro. La sandbox si comporta allo stesso modo della produzione ORCID Registro con alcune eccezioni.

Creazione di un account di prova

Per testare il ORCID API e chiamate API, come la lettura e l'aggiunta di informazioni a un file ORCID record, dovrai anche creare un test ORCID registrare nella sandbox. Questo può essere fatto tramite l'interfaccia utente, proprio come nella produzione ORCID Registro. Vai a https://sandbox.orcid.org/register e registrati per un account.

Indirizzi di posta elettronica

Il server sandbox invia e-mail di notifica solo a Mailinator (@mailinator.com) indirizzi e-mail per non inviare spam ai server di posta involontariamente. Non riceverai un'e-mail di verifica o una notifica di reimpostazione della password a meno che tu non utilizzi un indirizzo @mailinator.com e la verifica è necessaria per apportare modifiche manuali ai record sandbox. Scopri di più sulle loro caselle di posta pubbliche gratuite Se non si desidera utilizzare a Mailinator indirizzo, quindi prendi nota del tuo nome utente e password (poiché li utilizzerai per concedere l'autorizzazione alla tua applicazione durante il test) e contattaci per richiedere assistenza con la verifica.

Mailinator è un servizio di posta elettronica che ha un servizio pubblico gratuito e un servizio privato a pagamento. Per i test è possibile utilizzare il servizio pubblico completamente gratuito. Scopri di più sui loro livelli qui.

Mailinator è un servizio di terze parti che non è gestito o mantenuto da ORCID. Ti consigliamo di rivedere il funzionamento di questo servizio e le sue limitazioni prima di utilizzare questi indirizzi. 

Cosa sono gli URI di reindirizzamento e come vengono utilizzati?
Gli URI di reindirizzamento vengono utilizzati dal nostro servizio di autenticazione OAuth come misura di sicurezza.  ORCID invierà solo gli utenti di autenticazione agli URI registrati dal client che richiede l'autenticazione. Ciò impedisce ai servizi di impersonarsi a vicenda.

Si prega di notare che solo URI HTTPS sono accettati in produzione. Puoi testare utilizzando gli URI HTTP ma dovrai registrarti URI HTTPS quando richiedi le credenziali dell'API del membro di produzione.

Come abbiniamo gli URI di reindirizzamento?

• DEVI registrare i sottodomini come URI separati. https://anythingelse.thirdparty.com non funzionerà.  
• È incoraggiata la registrazione completa di tutti gli URI di reindirizzamento, incluso il percorso, è ciò che fanno la maggior parte delle terze parti ed è l'opzione più sicura.
• Se l'app client è registrata con un uri di reindirizzamento che è solo il nome host, è possibile utilizzare qualsiasi uri di reindirizzamento su quell'host. Quindi, ad esempio, se è registrato il seguente reindirizzamento uri: https://thirdparty.com quindi tutti i seguenti redirect_uris funzioneranno:
  • https://thirdparty.com/oauth/callback1
  • https://thirdparty.com/callback2
  • https://thirdparty.com/anything-else-as-long-as-the-host-is-the-same

Tuttavia, https://anythingelse.thirdparty.com non funzionerà.  Tu MUST registra i sottodomini come URI separati.

Cosa succede se il mio URI di reindirizzamento non è corretto?

Utenti inviati per autenticarsi a ORCID con URI di reindirizzamento errati verrà visualizzato un messaggio di errore simile a questo:

Gestione degli URI di reindirizzamento per i membri

Se stai utilizzando l'API membro e richiedi modifiche ai tuoi URI di reindirizzamento, contatta il nostro team di coinvolgimento

Gestione degli URI di reindirizzamento per client pubblici

Se stai utilizzando l'API pubblica, dovrai seguire i passaggi seguenti per aggiornare l'elenco degli URI di reindirizzamento associati al tuo ORCID ID client API pubblico. Puoi farlo seguendo i passaggi seguenti:

• Accedi al tuo ORCID record
• Fai clic sul tuo nome nell'angolo destro
• Seleziona gli strumenti per sviluppatori
• Fare clic sulla matita di modifica accanto al nome del cliente
• Modifica un URI di reindirizzamento esistente o fai clic su "Aggiungi un altro URI di reindirizzamento" modificane uno esistente
• Una volta apportate le modifiche, è necessario fare clic sull'icona di salvataggio

Solo URI HTTPS sono accettati in produzione. Puoi eseguire il test utilizzando gli URI http, ma dovrai registrare gli URI HTTPS quando richiedi le credenziali dell'API del membro di produzione.

ORCID integrazioni utilizzano "OAuth a 3 vie" per autenticare gli utenti e richiedere l'autorizzazione per interagire con i loro record. Qualsiasi integrazione può richiedere autorizzazioni di lettura utilizzando l'API pubblica. ORCID i membri possono utilizzare l'API dei membri per richiedere le autorizzazioni di aggiornamento. Funziona così:

• Crei un collegamento speciale
• Quando si fa clic, l'utente viene inviato a ORCID
  • ORCID chiede all'utente di accedere
  • ORCID chiede all'utente di concedere l'autorizzazione alla tua applicazione
  • ORCID rimanda l'utente al tuo sistema con un codice di autorizzazione
• Il tuo sistema scambia quel codice con un token di accesso

L'URL di autorizzazione personalizzato include le informazioni del tuo cliente, nonché gli "ambito" che specificano le aree specifiche del loro record a cui desideri accedere. Dopo l'accesso, l'utente autorizza la connessione con il tuo sistema e viene restituito alla tua pagina di destinazione insieme a un codice di autorizzazione. Questo codice viene quindi utilizzato per ottenere il loro ORCID iD insieme a un token di accesso valido per gli ambiti richiesti.

Crea il link di autorizzazione e ottieni un codice di autorizzazione

Crei il tuo link di autorizzazione specificando il client delle tue credenziali API ID e pagina di destinazione associata (URI di reindirizzamento). Scegli quali autorizzazioni richiedere impostando il parametro di ambito.

L'esempio seguente richiede il permesso di leggere i dati ad accesso limitato sul ORCID server di test sandbox. Nel mondo reale visualizzi questo collegamento sul tuo sito Web o lo includi in un'e-mail quando chiedi all'utente di autenticarsi e autorizzare. Tuttavia, a scopo di test, puoi semplicemente incollarlo nel tuo browser web. Sostituisci i dati tra parentesi con le informazioni del tuo cliente e assicurati di rimuovere le parentesi quadre!

https://sandbox.orcid.org/oauth/authorize?client_id=[Your client ID]&response_type=code&scope=/read-limited&redirect_uri=[Your landing page]

Una volta che l'utente ha fatto clic sul collegamento, ha effettuato l'accesso a ORCID e le autorizzazioni concesse vengono reindirizzate al tuo sito, in questo modo:

https://[Your landing page]?code=Q70Y3A

Scambiare il codice di autorizzazione con un ORCID iD e token di accesso

È necessario scambiare immediatamente il codice di autorizzazione per il ORCID iD e token di accesso. Il codice di autorizzazione scade al momento dell'uso. La richiesta è simile a questa e non può essere fatto in un browser web, deve essere creato dal tuo server.

 URL=https://sandbox.orcid.org/oauth/token
  HEADER: Accept: application/json
  HEADER: Content-Type: application/x-www-form-urlencoded
  METHOD: POST
  DATA: 
    client_id=[Your client ID]
    client_secret=[Your client secret]
    grant_type=authorization_code
    code=Six-digit code
    redirect_uri=[Your landing page]

ORCID restituirà quindi l'autenticazione del ricercatore ORCID iD e un token di accesso in formato JSON:

{"access_token":"f5af9f51-07e6-4332-8f1a-c0c11c1e3728","token_type":"bearer",
"refresh_token":"f725f747-3a65-49f6-a231-3e8944ce464d","expires_in":631138518,
"scope":"/read-limited","name":"Sofia Garcia","orcid":"0000-0001-2345-6789"}

I token di accesso sono di lunga durata per impostazione predefinita e scadono 20 anni dopo l'emissione. Il token può essere utilizzato più volte prima della scadenza.

Usa il token di accesso

I token di accesso a 3 gambe sono collegati a specifici ORCID disco. Per usarli, li includi nelle richieste API che fai per leggere o aggiornare quel record.

OAuth implicito è una versione più leggera di OAuth progettata per essere utilizzata da sistemi che non dispongono o non desiderano utilizzare componenti lato server. L'OAuth implicito può essere implementato interamente nel browser utilizzando solo javascript. È disponibile per membri e non membri e funziona in questo modo:

• Crei un collegamento speciale
• Quando si fa clic, l'utente viene inviato a ORCID
  • ORCID chiede all'utente di firmare i
  • ORCID chiede all'utente di concedere l'autorizzazione alla tua applicazione
  • ORCID rimanda l'utente al tuo sistema con il suo ORCID iD, un token di accesso e un id gettone.
• Il tuo sistema estrae e memorizza gli autenticati ORCID iD dalla risposta.

Per motivi di sicurezza, quando si utilizza OAuth implicito, ORCID non restituirà token di accesso con autorizzazioni di aggiornamento.

Flusso implicito

Il flusso implicito è progettato in modo che i client non debbano utilizzare la loro chiave segreta per avviare ORCID accedi. La sicurezza viene applicata limitando i client ai loro redirect_urls registrati. Questo livello di sicurezza inferiore significa che ORCID supporta solo gli ambiti /authenticate e openid quando si usa il flusso implicito. I token sono anche di breve durata, con una durata di 10 minuti. Questo flusso è consigliato per le applicazioni lato client che non hanno accesso a un server di back-end, ad esempio applicazioni telefoniche o applicazioni web javascript a pagina singola.

https://localhost/#access_token=24c11342-f5da-4cf9-94a4-f8a72a30da00&token_type=bearer&expires_in=599&tokenVersion=1&persistent=false&id_token=eyJraWQiOiJxYS1vcmNpZC1vcmctcjlhZmw3cWY2aG2c5bmdzenU1bnQ3Z3pmMGVhNmkiLCJhbGciOiJSUzI1NiJ9.eyJhdF9oYXNoIjoiMW52bXZBbVdwaVd0Z3ZKZW1DQmVYUSIsImF1ZCI6IkFQUC02TEtJSjNJNUIxQzRZSVFQIiwic3ViIjoiMDAwMC0wMDAyLTUwNjItMjIwOSIsImF1dGhfdGltZSI6MTUwNTk4Nzg2MiwiaXNzIjoiaHR0cHM6XC9cL29yY2lkLm9yZyIsIm5hbWUiOiJNciBDcmVkaXQgTmFtZSIsImV4cCI6MTUwNTk4ODQ2MywiZ2l2ZW5fbmFtZSI6IlRvbSIsImlhdCI6MTUwNTk4Nzg2Mywibm9uY2UiOiJ3aGF0ZXZlciIsImZhbWlseV9uYW1lIjoiRGVtIiwianRpIjoiY2U0YzlmNWUtNTBkNC00ZjhiLTliYzItMmViMTI0ZDVkNmNhIn0.hhhts2-4-ibjXPW6wEsFRaNqV_A-vTz2JFloYn7mS1jzQt3xuHiSaSIiXg3rpnt1RojF_yhcvE9Xe4SOtYimxxVycpjcm8yT_-7lUSrc46UCt9qW6gV7L7KQyKDjNl23wVwIifpRD2JSnx6WbuC0GhAxB5-2ynj6EbeEEcYjAy2tNwG-wcVlnfJLyddYDe8AI_RFhq7HrY4OByA91hiYvHzZ8VzoRW1s4CTCFurA7DoyQfCbeSxdfBuDQbjAzXuZB5-jD1k3WnjqVHrof1LHEPTFV4GQV-pDRmkUwspsPYxsJyKpKWSG_ONk57E_Ba--RqEcE1ZNNDUYHXAtiRnM3w

vedere il nostro documentazione tecnica per maggiori informazioni.

OpenID Connect 1.0 è un semplice livello di identità al di sopra del protocollo OAuth 2.0. Integra i flussi di autenticazione OAuth esistenti e fornisce informazioni sugli utenti ai client in modo ben descritto.

OpenID connect è un modo standardizzato di implementare OAuth e condividere informazioni sugli utenti autenticati. Sarà ora possibile configurare i servizi da utilizzare ORCID "pronto all'uso" insieme ad altri fornitori di connessione OpenID conformi agli standard. OpenID connect fornisce anche condivisibili ID token, che sono oggetti firmati che possono dimostrare che un utente è stato autenticato usando ORCID in un momento specifico. Questi token possono essere utilizzati dagli elementi dell'interfaccia utente per mantenere le sessioni utente.

ORCID supporta il profilo di conformità Basic OpenID Provider, che è un'estensione del flusso del codice di autorizzazione OAuth. ORCID supporta anche il flusso di token implicito per gli ambiti "/authenticate" e "openid".

Ciò significa che ORCID:

• Incorpora firmati id token all'interno di risposte token per codici di autorizzazione generati con l'ambito 'openid'
• Supporta il flusso implicito quando si utilizzano response_types 'token' o 'token id_token' e l'ambito 'openid'.
• Supporta i parametri 'prompt', 'nonce' e 'max_age' per le richieste di autorizzazione che includono l'ambito 'openid'.
• Supporta la scoperta di Openid Connect e gli endpoint di informazioni utente
• Supporta il campo "amr" per gli integratori che utilizzano l'API membro per le richieste di autorizzazione che includono l'ambito "openid". Questo può essere utilizzato per scoprire se un utente si è autenticato utilizzando l'autenticazione a due fattori.

L'avvio di un'autenticazione OpenID Connect funziona allo stesso modo di una normale autenticazione OAuth. Tutto ciò che è richiesto è che il client richieda l'ambito 'openid' Se si utilizza l'ambito /authenticate sostituirlo con openid, poiché autenticare e openid hanno la stessa autorizzazione solo uno o l'altro dovrebbe essere utilizzato. Se stai utilizzando altri ambiti, aggiungi openid all'elenco degli ambiti richiesti. Quando l'ambito openid è incluso, il registro restituirà un id_token all'interno della risposta del token e concederà al client l'autorizzazione per accedere all'endpoint delle informazioni utente per quell'utente.

Si noti che l'ambito 'openid' non inizia con un '/' come l'altro ORCID Ambiti API. Questo perché l'ambito 'openid' non è definito da ORCID, ma invece definito dalla specifica OpenID Connect.

vedere il nostro documentazione tecnica per maggiori informazioni.

ORCID fornisce un semplice Widget Java Script che può essere utilizzato per ottenere l'autenticazione ORCID ID che utilizzano OAuth con OpenID Connect.

Tieni presente che il widget utilizza OAuth implicito, quindi non raccoglie alcuna autorizzazione di scrittura. Ciò significa che non è adatto per le integrazioni dei membri che desiderano aggiornare i record. Si prega di consultare il nostro tutorial per Aggiunta e aggiornamento dei dati su ORCID Records.