# 认证与授权概述

为了提升 API 调用的安全性，WPS 开放平台设计了访问凭证（access_token）机制，调用 API 获取应用资源时，需要通过 access_token 对调用者身份进行鉴权，即告知 WPS 当前是谁、以什么身份获取什么租户的数据。

访问凭证是接入 WPS 开放平台的钥匙，将应用获得的所有数据访问和接口调用权限绑定在一起，允许应用对资源进行读写操作。建议开发者在正式开发前对 WPS 的访问凭证机制有充分的了解。

WPS 协作开放平台访问凭证分为 2 类：

- 用户授权凭证：用户委托应用执行对应操作，例如，调用 API 创建一篇云文档或一个日程。调用 API 所能操作的数据范围受限于用户本身的权限。
- 应用授权凭证：租户委托应用执行对应操作，例如，获取一个通讯录用户的信息。调用 API 所能操作的数据范围受限于应用的数据权限范围。

## 选择合适的访问凭证

不同的访问凭证代表了不同的资源访问权限，调用同一个 api，使用不同的凭证将会获取不同的数据。

如果你的业务逻辑不需要操作用户的数据资源，仅需操作应用自身拥有的资源，例如在应用自身的文档目录空间下创建云文档，则推荐使用应用授权 access_token，无需额外申请授权。

如果你的业务逻辑需要操作用户的数据资源，例如需要在用户的文档目录空间下创建云文档，则推荐使用用户 access_token，无需额外申请授权。
该情况下如果使用应用授权 access_token，则需额外在资源层面为应用添加相应的授权。例如，如果使用 应用授权 access_token 调用通讯录，则需在开发者后台的权限管理页面配置应用的通讯录权限范围；而使用 用户授权 access_token 则无需单独配置通讯录权限范围，遵循 access_token 所属用户的通讯录权限范围。

## 如何获取访问凭证

不同的 API 会支持上述一种或多种的访问凭证作为 API 调用时的鉴权手段。在开放平台 API 文档的请求参数部分，可查阅该 API 支持的访问凭证类型。
获取不同访问凭证需要经过不同的授权流程：[用户授权流程](/app-integration-dev/wps365/server/certification-authorization/user-authorization/flow)，[第三方企业应用授权流程](/app-integration-dev/wps365/server/certification-authorization/app-authorization/isv-authorization-flow)