客服电话:13904310313 
「网站应用获取用户授权」方式调整通知
开发者你好,抖音开放平台十分注重用户数据与隐私保护,希望通过建立健康可持续的生态帮助开发者实现长效经营。当前部分面向企业服务提供的开放能力,在网站应用下存在与C端用户场景混用的不合理情况,产生应用超范围索取用户权限等问题。为防止用户数据泄露,基于用户的体验与历史反馈考量,平台将对「网站应用获取用户授权」的方式与校验手段进行规则更新,目的是区分和规范企业服务、C端用户两类场景下可获取的用户权限范围。
一、落地节奏
公告时间:2023年5月12日
上线时间:2023年6月12日12:00时
二、调整内容
- 授权回调域校验规则更新
2023年6月12日起,针对网站应用设置用于接收用户授权回调结果的域名校验进行升级,从历史「仅校验域名」将更新为「校验域名+path」。开发者须提前进入控制台-设置-开发配置-授权回调地址页面下进行完整URL的填写与保存。对应校验规则生效时间为6月12日14时,每个网站应用key下至多支持创建10条用于接收授权回调的URL配置,更多Web授权正确接入方式请参考Web授权。
如未及时进行调整,上述截止日期后你的网站应用将无法正常获取用户授权票据,进而导致无法继续使用抖音登录和调用相关开放能力接口等问题,请注意。
配置授权回调地址流程 | 未更新配置效果-web端 | 未更新配置效果-移动端 |
- 特定能力在Web授权链接适配移动端的场景限制
- 2023年6月12日后,下述列表中已开放且定位于企业服务场景的「特定能力」,将仅允许用户通过PC端打开授权链接进行授权。针对Web授权链接适配移动端场景(如:抖音授权SDK内打开Web授权链接、Web授权链接在第三方具备浏览器功能的移动App内打开),以下能力在该路径下默认隐藏,不可被移动端用户授权。针对当前网站应用存在移动端授权场景混用的开发者,请在2023年6月12日前,及时调整网站应用获取移动端用户授权的产品逻辑,参照正确的授权调用方式进行开发接入和更新。
如未及时进行调整,上述截止日期后你的网站应用将无法完整获取移动端用户授权项并调用相关接口,最终导致网站应用无法为移动端用户提供完整服务,请注意。
用户进入哪些流程会触发特定能力授权过滤 | 触发过滤后的表现 | ||
手机验证码h5授权 | 运营商手机号一键授权 | 传入用户能力+特定能力,授权页仅展现标准用户能力,特定能力自动过滤 | 全部传入特定能力,用户侧无法授权 |
「特定能力」列表:
能力名称或简介 | scope名 | 是否对外公开 | 申请方式 |
评论管理(普通用户) | item.comment | 是 | 控制台自主申请 |
视频删除管理 | video.delete | 是 | |
粉丝来源数据 | data.external.fans_source | 是 | |
粉丝喜好数据 | data.external.fans_favourite | 是 | |
推广创建的粉丝群 | im.group_fans.share | 是 | |
创建粉丝群 | im.group_fans.create_list | 是 | |
获取并管理你的群聊信息 | im.group_message | 是 | |
查询指定视频的实时数据(新) | video.data.bind | 是 | |
查询指定视频的实时数据(旧) | video.data | 是 | |
查询授权账号的视频列表(新) | video.list.bind | 是 | |
查询授权账号的视频列表(旧) | video.list | 是 | |
粉丝画像数据(新) | fans.data.bind | 是 | |
粉丝画像数据(旧) | fans.data | 是 | |
抖音视频发布管理(新) | video.create.bind | 是 | |
抖音视频发布管理(旧) | video.create | 是 | |
头条视频发布管理 | toutiao.video.create | 否 | 暂不开放申请 |
西瓜视频发布管理 | xigua.video.create | 否 | |
头条视频数据查询 | toutiao.video.data | 否 | |
实名认证信息 | real.name.auth | 否 | |
人脸实名信息 | certification.face | 否 | |
二要素实名信息 | certification.two_element | 否 | |
抖音钱包转账 | douyin.pay | 否 | |
抖音钱包转账查询 | douyin.pay.op | 否 | |
视频导出 | internal.video.sync | 否 | |
获取并管理你的私信消息 | im.direct_message | 否 | |
消息卡片 | im.message_card | 否 | |
撤回私聊或群聊消息 | im.recall_message | 否 | |
直播预约能力管理 | live.anchor.booking | 否 |
b. 同时,2023年6月12日后,在上述限定授权设备场景的基础上,平台将中断并禁止在抖音、抖音极速版App内打开Web授权链接,网站应用如需在抖音或抖音极速版App内上线并获取移动端用户授权,请参照正确的授权调用方式进行开发接入和修正。 如未及时进行调整,上述截止日期后你的网站应用将无法在抖音和抖音极速版App内按照Web授权方式获取用户授权,请注意。(见下图)
针对2.a和2.b两点规则的调整,如因当前用户规模等不可抗力的客观原因无法在截止日期前完成开发变更,请在2023年5月31日前及时联系平台客服,我们会在3个工作日内进行评估是否延长调整缓冲时效。但时效最长不可超过1个月,即不晚于2023年7月12日。同时提交延长申请前请确认,你的网站应用须满足以下任一规模条件,否则将不予延长调整缓冲时效。
4月1日~4月30日期间,网站应用在抖音和抖极极速版App内调用Web授权应满足以下任一条件:
总访问次数≥5000
总访问用户数≥3000
日均授权访问用户数≥100
(相关统计数据以抖音开放平台侧统计的数据为准)
三、常见问题
Q1:Web授权页显示“redirect_uri不能为空”“缺少参数”“当前链接不合法,已限制本次授权”是怎么回事?
A:2023年6月12日起,平台针对网站应用设置用于接收用户授权回调结果的域名校验进行升级,从历史仅校验域名将更新为校验域名+path。开发者须提前进入控制台-设置-开发配置-授权回调地址页面下进行完整URL的填写与保存。对应校验规则生效时间为2023年6月12日12时,每个网站应用key下至多支持创建10条用于接收授权回调的URL配置,更多Web授权正确接入方式请参考Web授权。
如未及时进行调整,上述截止日期后你的网站应用将无法正常获取用户授权票据,进而导致无法继续使用抖音登录和调用相关开放能力接口等问题。
Q2:授权回调不更新配置会发生什么情况?
A:针对新创建网站应用的开发者,将无法获取同意授权用户的回调结果,无法获取用户授权票据进行相应的接口请求;针对当前已创建网站应用的开发者,用户授权成功后因校验规则不通过,无法默认返回开发者的指定页面,同时开发者无法接收用户授权成功产生的票据。
Q3:为什么经营能力一定要在PC端授权?
A:当前网站应用实际存在toC和toB两个服务场景,本次调整是为了适应并强化toB定位的网站应用的业务关系,避免C端用户在无预期或误授权情况下将敏感权限或数据交付给开发者,进而导致用户隐私受损或账号被盗。如有需求通过网站应用申请C端用户授权,请按照标准JS SDK方式接入后在抖音端内发起授权请求。
