资源中心芝麻信用产品标准授权服务说明
您可以点击纯净版进行查看

授权概述

根据《征信业管理条例》(2013年3月15日)及相关条例,在查询个人信用信息时需获得本人同意。

因此获取用户授权是商户访问用户信用信息的前提。即,商户必须提供用户的授权凭据才可以访问其芝麻分、行业关注名单等产品。

标准授权服务是指芝麻提供的、通用的帮助商户获取用户授权的系统过程。该过程包括:在确认用户本人身份的前提下,用户同意授权条款,由芝麻记录用户的授权许可,并将该授权许可(授权凭据)反馈给商户。

本文即会说明有哪几种方式可以获取用户授权、每种方式适用于哪种场景以及如何使用。

H5 方式

H5 方式是适用性最广泛的用户授权服务形态。适用于商户的移动端应用、H5应用、支付宝客户端中的服务窗,以及微信公众号等第三方容器。

商户使用 H5 方式时的入参方式可以有:证件号+姓名手机号(服务窗不支持手机号)。本节分两部分说明 H5 方式的使用方法。

其中,在支付宝客户端的服务窗中使用授权服务时,可免去短信验证,简化授权过程。

H5方式 - 入参方式:证件号+姓名

(1)用户在商户端填写用户姓名和身份证(该页面为商户端页面,商户可参照示例页自行设计),用户点击“立即授权”后商户调用芝麻授权服务接口,进入芝麻页面。

这里的“立即授权”仅为示例,在实际场景中,改为对用户更有价值的价值目标性操作,比如“申请免押服务”等。

(2)芝麻信用协议文案页面。该页面为芝麻信用标准授权服务页面,该页面根据商户信息动态生成。用户同意后,跳转至短信验证页面。

特别说明:如果用户在支付宝服务窗中使用该授权服务,芝麻会检查传入的用户身份信息跟支付宝当前登录用户是否一致,如果一致则免去短信验证过程,直接完成授权过程。


(3)短信验证页面。该页面显示用户支付宝实名认证用户绑定的手机号,并提示用户点击“发送校验码”。

如果该用户非支付宝实名认证用户,则无法完成授权。


该页面上的手机号码为芝麻信用根据数据匹配获得,并展示于页面上,用户不能修改。当该用户所有支付宝实名认证的账户下绑定多个手机号码时,用户可通过下拉箭头选择接收验证码的手机号码。

(4)用户填写收到的校验码,点击“提交”,芝麻进行校验无误后,完成授权。展示授权结果并自动回跳至商户 App 指定页面。


H5方式 - 入参方式:手机号

该方式的基本逻辑是:根据输入的手机号关联所绑定的实名认证账户,并将该账户证件号后四位跟用户输入的后四位进行比较,如果一致则核身通过。

注意:在服务窗中调用H5方式的授权服务时,不支持手机号入参。

手机号入参方式的授权过程如下:

(1)用户在商户端输入手机号码,发起授权(该页面由商户设计开发)。


(2)匹配到多个身份证号码时,需要先输入后四位。只有一个则跳过此步(该页面开始都由芝麻信用提供)。


(3)跳转至芝麻信用协议确认页面。


(4)用户发送验证码,回填验证码和身份证后四位。若在第2步已经填写后四位,此步不需要再填写。


(5)授权完成,显示授权结果。3秒钟后会自动跳转到商户回调地址。


PC 方式

PC 方式主要为 PC 端网页应用提供。使用逻辑同 H5 方式,提供两种方式入参:证件号 + 姓名;手机号

PC 方式 - 入参方式:证件号 + 姓名

(1)用户在商户端填写用户姓名和身份证。下图为视觉范例,需要商户自己设计。

(2)跳转至芝麻信用协议确认页面。(该页面由芝麻信用提供)。

若用户已经开通芝麻信用,则没有第 2 点协议内容,仅展示 1、3 点内容。如果不涉及到负面信息露出,则不会显示特别注意的内容。

(3)获取短信校验码。

该页面上的手机号码为芝麻信用根据数据匹配获得,并展示于页面上,用户不能修改。当该用户所有支付宝实名认证的账户下绑定多个手机号码时,用户可通过下拉箭头选择接收验证码的手机号码。

(4)授权完成,显示授权结果。3秒钟后会自动跳转到商户回调地址,或手动点击“返回”按钮跳回商户端。

(5)页面跳转到商户指定页面。

PC 方式 - 入参方式:手机号

(1)用户在商户端输入手机号码,发起授权(该页面由商户提供);

(2)匹配到多个身份证号码时,需要先输入后四位。只有一个则跳过此步;

(3)跳转至芝麻信用协议确认页面;

若用户已经开通芝麻信用,则没有第 2 点协议内容,仅展示 1、3 点内容。如果不涉及到负面信息露出,则不会显示特别注意的内容。

(4)用户发送验证码,回填验证码和身份证后四位。若在第2步已经填写后四位,此步不需要再填写。

(5)授权完成,提示授权结果。3 秒钟后会自动跳转到商户回调地址,或手动点击“返回”按钮跳回商户端。

(6)跳转回商户。

具体的错误码,请参照产品技术接口文档说明。

授权方式和功能说明

授权服务形态和身份标识方式

在使用授权服务前,请先确定两个问题:

  1. 您要在哪个渠道(App 还是 PC 网页,或其它)接入授权服务。这决定了将要接入的授权服务形态。
  2. 要看下您能提供的身份标识方式什么,也就是调用授权接口的入参。如果您的应用已经获取了用户的身份证 + 姓名,请选择身份证 + 姓名。如果没有身份证 + 姓名则可以选择手机号。

当两者都可以时,建议优先使用身份证 + 姓名入参,因为这种方式相对于手机号入参的授权成功率要高约 10 个百分点。

根据商户开展业务的场景,我们提供了 H5 方式、PC 方式及支付宝客户端方式等多种形态的授权服务,以满足各种应用场景。

商户传入的身份标识方式可能有:证件号码 + 姓名手机号。身份标识方式是商户调用标准授权服务的关键入参,商户根据自己的具体场景提供合适的身份标识方式。

更具体的参数说明参见授权服务的技术接口说明文档。

注:该方式中,商户应用通过第三方容器(如公众号等)提供服务时,因安全等因素该容器可能对外部链接进行拦截,此时建议可以通过支付宝客户端方式进行授权。

具体介绍参加后续各小节内容。

授权基本逻辑

  1. 用户在商户端发起授权请求,输入身份标识;
  2. 用户跳转至芝麻信用授权页面;
  3. 芝麻信用校验身份能否识别,然后获取该身份在支付宝的实名认证账户信息,下发手机验证码;
  4. 用户填写验证码并验证通过后,即完成授权;
  5. 芝麻信用返回商户授权结果,并回跳商户指定页面。

以上过程为基本逻辑,实际过程可能因身份识别方式略有不同,具体可以参考后续各小节内容。

授权有效期

授权成功的用户,芝麻会为其开通芝麻信用账户并建立与商户的授权关系。用户若不主动取消对商户的授权,该授权为永久有效。在授权有效期内,商户可以查询用户的信用信息(如芝麻分、行业关注名单等)。

取消授权功能

用户可在芝麻信用客户端(即支付宝客户端 -> 芝麻信用 -> 信用管理 -> 授权管理)内取消对某商户的授权。取消后,商户将不能查询该用户的信用信息。

用户取消授权后,商户查询该用户信息时芝麻会返回授权已失效的异常,此时商户需要引导用户重新发起授权过程。

接口对接说明

接入之前请先参考总体接入文档 接口调用

接入接口文档:

页面授权接口(包含 PC, H5 等方式),详见具体的接入文档:页面授权接口

授权查询接口,详见具体的接入文档:授权查询接口

  1. 授权概述
  2. H5 方式
  3. PC 方式
  4. 授权方式和功能说明
  5. 接口对接说明
onlineServer