ĐNV
Đại Nhảy Vọt Platform
Sẵn sàng gửi Admin Lark
Lark QR SSO

Đăng nhập bằng Lark. Không tạo tài khoản lại.

Tài liệu cấu hình nhanh cho Admin Lark và đội kỹ thuật. Mục tiêu: user đã có Lark trong tổ chức có thể scan QR trên website để đăng nhập vào hệ thống.

Gửi cho Admin Lark Xem flow kỹ thuật

Phần 1

Việc Admin Lark cần làm

Dùng phần này để gửi thẳng cho IT/Admin của khách hàng hoặc tổ chức nội bộ.

1
Tạo Custom AppVào Lark Open Platform tại open.larksuite.com/app và tạo app cho tổ chức.
2
Lấy App ID và App SecretThông tin này dùng cho backend. Không đưa App Secret lên frontend.
3
Thêm Redirect URLWhitelist đúng URL callback của website.
4
Cấp quyền user infoQuyền cơ bản để lấy tên, avatar, open_id, union_id, tenant_key. Nếu cần map bằng email thì cấp thêm quyền email.
5
Enable app cho userPublish hoặc bật app cho nhóm người dùng được phép đăng nhập.
Thông tin cần bàn giao cho team kỹ thuật: LARK_APP_ID= LARK_APP_SECRET= REDIRECT_URL=https://platform.dainhayvot.vn/auth/lark/callback SCOPES=user_info, email nếu cần TENANT_ORG_NAME= Lưu ý: - Gửi App Secret qua kênh bảo mật - Callback URL phải khớp chính xác - Production bắt buộc dùng HTTPS

Phần 2

Flow kỹ thuật

Website dùng Lark để xác thực danh tính. Quyền truy cập module vẫn do hệ thống nội bộ quyết định.

Website hiển thị QR login

Trang login nhúng Lark QR SDK và truyền authorize URL vào tham số goto.

User scan bằng Lark mobile

User mở app Lark trên điện thoại, scan QR trên browser, rồi xác nhận đăng nhập.

Lark trả tmp_code về browser

Frontend nhận tmp_code từ SDK, gắn vào authorize URL và redirect sang Lark OAuth.

Backend nhận code tại callback

Lark redirect về /auth/lark/callback kèm code và state. Backend phải kiểm tra state.

Đổi code lấy user_access_token

Backend gọi token API của Lark. Code chỉ dùng một lần và hết hạn sau khoảng 5 phút.

Lấy user info và tạo session nội bộ

Backend lấy open_id, union_id, tenant_key, email nếu có. Sau đó find-or-create user và tạo session/JWT cho website.

Phần 3

Ai cần quyền gì?

Lark Super Admin hoặc App Admin Tạo app, lấy App ID/App Secret, thêm Redirect URL, cấp quyền API, enable app cho tổ chức.
Developer được Admin mời Có thể cấu hình app nếu được cấp quyền phù hợp trong Lark Developer Console.
User bình thường Không cần quyền admin. Chỉ cần có tài khoản Lark và được phép dùng app.
Backend của website Giữ App Secret, đổi code lấy token, lấy user info, tạo session đăng nhập nội bộ.

Phần 4

Cấu hình đề xuất cho platform.dainhayvot.vn

Login URL

https://platform.dainhayvot.vn/login

Callback URL

https://platform.dainhayvot.vn/auth/lark/callback

Identity key

Ưu tiên union_id. Nếu single tenant, dùng open_id + tenant_key.

Phán quyết triển khai Lark chỉ nên làm lớp xác thực. Role, quyền vào module, gói dịch vụ, trạng thái khách hàng và phân quyền nội bộ vẫn nên nằm trong database của platform.

Phần 5

Text gửi Admin Lark

Copy đoạn này gửi thẳng cho người phụ trách Lark.

Chào anh/chị, Bên em cần cấu hình Lark QR SSO để người dùng trong tổ chức đăng nhập vào website bằng tài khoản Lark, không cần tạo tài khoản/password riêng. Nhờ anh/chị hỗ trợ: 1. Tạo một Custom App trên Lark Open Platform 2. Lấy App ID và App Secret 3. Thêm Redirect URL: https://platform.dainhayvot.vn/auth/lark/callback 4. Cấp quyền đọc thông tin user cơ bản 5. Nếu cần map user bằng email, cấp thêm quyền đọc email 6. Enable app cho nhóm user được phép đăng nhập Sau khi cấu hình xong, vui lòng gửi lại: LARK_APP_ID= LARK_APP_SECRET= SCOPES ĐÃ CẤP= TENANT/ORG NAME= Lưu ý: App Secret nên gửi qua kênh bảo mật, không gửi trong group chat công khai.