WorkBuddy企微代开发模式如何接入_配置代开发模板与授权
代开发模式需服务商创建代开发应用模板并配置可信域名与JSAPI权限,再通过授权链接为各企业安装,WorkBuddy动态加载企业上下文,实现多租户隔离、权限控制及消息加解密。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜
如果您希望以代开发模式将WorkBuddy接入企业微信,即由第三方服务商为多个客户企业统一配置并管理机器人能力,而非每个企业单独创建自建应用,则需采用企业微信“代开发”模板机制。该模式适用于SaaS服务商、IT集成商等需批量交付智能助手服务的场景。以下是完成代开发模式接入的具体步骤:
一、在企业微信管理后台创建代开发应用模板
代开发模式要求服务商先在企业微信中注册一个“代开发应用”,作为所有被代管企业的统一能力载体。该模板不绑定具体企业,仅用于声明权限与回调能力。
1、使用服务商管理员账号登录企业微信管理后台,进入「安全与管理」→「管理工具」→「代开发应用」。
2、点击「创建代开发应用」,填写应用名称(如“WorkBuddy SaaS 通用模板”)、应用Logo及简介。
3、在「功能设置」中,勾选所需的基础能力:消息接收、消息发送、用户信息读取、部门信息读取、应用可见范围控制。
4、在「回调配置」区域,启用「接收消息」和「事件回调」,暂不填写URL,留待后续动态注入;点击「保存」生成应用ID(SuiteID)与Secret(SuiteSecret)。
二、配置代开发模板的可信域名与JSAPI权限
为支持后续通过企微H5页面调用WorkBuddy本地能力(如文件上传、桌面截图),需预先在代开发模板中配置可信域名,并授权JSAPI接口。
1、在代开发应用详情页,进入「开发管理」→「可信域名」,添加服务商自有域名(如api.yourcompany.com),该域名须已完成ICP备案且支持HTTPS。
2、进入「JSAPI权限配置」,勾选以下关键接口:agentConfig、openLocation、chooseImage、getLocalImgData、downloadFile。
3、点击「保存」,系统将生成jsapi_ticket,供后续签名验证使用。
三、为被代管企业授权安装代开发应用
每个客户企业需主动授权该代开发模板,授权后WorkBuddy方可获取其CorpID、AgentID等上下文,并建立独立通信通道。
1、在代开发应用详情页,点击「授权管理」→「生成授权链接」。
2、将生成的授权链接(含suite_id参数)发送给目标企业管理员,由其使用企业微信扫码完成授权。
3、授权成功后,企业微信将回调服务商配置的pre_auth_code接收地址,返回auth_code;服务商需立即用该code调用https://qyapi.weixin.qq.com/cgi-bin/service/get_permanent_code换取permanent_code与access_token。
4、调用get_corp_token接口,传入permanent_code,获取该企业的corp_access_token,用于后续向该企业发送消息。
Deep Agent
一站式人工智能决策解决方案平台
下载
四、WorkBuddy客户端侧动态加载企业上下文
WorkBuddy需根据授权回调中携带的企业标识,自动切换运行时环境,加载对应企业的凭证与配置,实现多租户隔离。
1、在Claw设置中启用「代开发模式」开关,并填入服务商已获取的SuiteID与SuiteSecret。
2、启动WorkBuddy时,监听本地HTTP服务端口(如/wecom/callback),接收企业微信推送的auth_code及auth_corpid。
3、收到回调后,WorkBuddy自动调用服务商后端API,传入auth_code与auth_corpid,换取该企业的permanent_code与corp_access_token。
4、将获取到的凭证缓存至本地加密存储区,并为该企业生成独立的Webhook路由(如/wecom/corp_abc123),用于接收该企业消息。
五、配置企业级消息路由与权限映射
代开发模式下,不同企业可能对机器人能力有差异化需求,需通过权限模板实现细粒度控制。
1、在服务商后台维护企业维度的权限策略表,字段包括:corpid、allowed_scopes(如["message.send","file.read"])、max_concurrent_tasks。
2、WorkBuddy每次接收到企业消息前,先查询该企业的权限策略,若请求操作超出允许范围,则返回403 Forbidden并附带提示文本。
3、在Claw设置界面中,为每个已授权企业显示独立配置卡片,支持开启/关闭「远程桌面」、「文件读写」、「命令执行」等高危能力。
六、代开发模式下的消息加解密与签名验证
所有来自企业微信的消息均需校验签名,防止伪造请求;所有发往企业微信的消息均需加密,确保传输安全。
1、在WorkBuddy服务端初始化阶段,从企业微信回调中提取msg_signature、timestamp、nonce及原始XML体。
2、使用该企业的Token(由服务商在授权后统一分配并下发)、EncodingAESKey与CorpID,按企业微信规范计算SHA256签名,比对一致后才解析消息。
3、向企业微信发送响应消息时,必须使用该企业的EncodingAESKey对明文XML进行AES-256-CBC加密,并附加msg_signature头字段。