「上下游」是什么？

「上下游」是企业微信针对企业间协作场景推出的解决方案。
企业可使用此功能，与自己的经销商、供应商、合作伙伴便捷沟通、共享应用，实现高效业务协同。

如何创建和使用「上下游」？

1. 打开企业微信手机客户端-工作台，找到「上下游」应用；
2. 创建一个上下游；
3. 点击「邀请上下游联系人」，发送邀请链接给本企业的经销商、供应商、合作伙伴联系人；
4. 对方确认后，即可在通讯录中找到对方并发起沟通。

注意：

* 客户端需升级到 3.1.20 以上版本
* 行业为「教育-学前教育、初中等教育、教育行政单位」的企业成员，以及团队形态的成员暂不支持创建和加入上下游

如何共享应用？

1. 打开企业微信手机客户端-工作台，找到「上下游」应用
2. 点开一个本企业创建的上下游
3. 点击「设置共享应用」
4. 选择需共享的应用、设置共享范围，完成共享
5. 上下游企业成员可在企微客户端-工作台查看和使用被共享的应用
   

「上下游」使用接口

上游企业将应用分享给下游企业后，需要使用特定的接口获取下游应用的身份和权限才能控制下游应用，因此需要做一定的适配。
对于自建应用，当上游企业将自建应用分享给下游企业后，企业微信会回调应用共享事件给上游企业，上游企业收到回调事件后，可以通过相应的API接口进行业务开发。需要特别注意的是企业微信帐号ID安全性已全面升级，上游企业获取到下游企业的账号ID规则与第三方服务商获取到的账号ID规则是一样的，详情可以参考企业微信帐号ID安全性全面升级。
对于第三方应用，当上游企业将第三方应用分享给下游企业后，企业微信会为每个下游企业分别安装授权该第三方应用，并回调授权通知给第三方，所以相当于是多了一种授权安装的渠道，不同的是，该情况下企业微信还会回调共享应用事件给第三方应用，之后第三方应用可获取应用共享信息，以及获取下游企业付费版本信息。
下面简要说明需要注意的地方。

获取应用共享信息

上游企业的管理员在管理端/手机端分享应用给下游企业后，会收到共享应用事件回调，此时上游企业需要通过接口获取应用共享信息获取分享后的下游企业的corpid和应用id列表并保存起来，后面调接口的时候需要用到。

获取当前使用者信息

因为应用可以分享给多个下游企业，所以上游企业调用接口前，需要得知当前使用者到底属于哪个企业。
见身份验证相关接口。与普通应用使用方法的不同点在于：

• 构造网页授权链接时，参数appid填上游企业的corpid （第三方应用无变化，参见构造第三方应用oauth2链接）
• 获取访问用户身份，对于「上下游」，返回的UserId格式如：CorpId/userid，分解即可得到下游企业的corpid（第三方应用无变化，参见第三方获取访问用户身份）

使用API接口

• 第三方应用。不同点在于：获取企业永久授权码接口不返回安装的管理员信息。
• 自建应用。不同点在于：需要换取下游企业的access_token来调接口，实现与下游应用交互
  
  ① 获取上游企业access_token
  ② 获取下游企业access_token
  ③ 使用第②步骤得到的下游企业的access_token调用各种API接口。例如通过调用获取应用接口获取下游应用的可见范围，通过调用读取成员接口获取获取下游企业成员详情，通过调用创建企业群发接口给下游企业客户群发消息。

使用JSAPI接口

• 第三方应用。无变化
• 自建应用。与普通企业使用JSAPI不同点在于：需要使用下游企业 jsapi_ticket 来进行jsapi签名，并用下游企业的身份调用agentConfig
  
  ① 获取上游企业access_token
  ② 获取下游企业的access_token
  ③ 获取jsapi_ticket并签名。特别注意，需要使用第②步骤得到的下游企业的access_token获取jsapi_ticket
  ④ agentConfig。特别注意，此时appId和agentId参数，需要填下游企业的corpid和应用id。
  

使用小程序接口

• 第三方应用。无变化，通过永久授权码获取企业access_token。
• 自建应用。与普通企业小程序登录流程的不同点在于：需要使用获取下游企业的小程序session来转为下游企业的登录session
  
  ① 获取上游企业access_token
  ② 获取上游sessionkey
  ③ 获取下游企业的access_token
  ④ 换取下游企业的sessionkey
  

处理上下游的回调事件

对于上下游的应用，因为应用统一由上游企业管理，所以相关事件和消息均回调给上游企业。需注意以下几点：

• 新增共享应用事件回调。当应用分享或解除分享后，会触发该事件给上游企业或第三方服务商。收到该事件后，需要调用获取应用共享信息更新应用的分享列表并存储
  第三方应用共享应用事件回调。当上游企业管理员在管理端分享(或解除分享)应用给下游企业后（若需要敏感权限需下游企业确认），会推送该事件给服务商。
  自建应用共享应用事件回调。当上游企业管理员在管理端分享(或解除分享)应用给下游企业后（若需要敏感权限需下游企业确认），会推送该事件给上游企业。
  
• 应用事件。第三方应用无变化；对于自建应用，所有下游企业的用户产生的应用事件，均回调给上游企业的回调URL，而事件里的企业信息是下游企业的信息。
  例如成员关注及取消关注事件：
  

  	<xml>
  		<ToUserName><![CDATA[toUser]]></ToUserName>
  		<FromUserName><![CDATA[UserID]]></FromUserName>
  		<CreateTime>1348831860</CreateTime>
  		<MsgType><![CDATA[event]]></MsgType>
  		<Event><![CDATA[subscribe]]></Event>
  		<AgentID>1</AgentID>

  
  事件中ToUserName是下游企业corpid，FromUserName是下游企业的密文userid
  
• 回调消息。第三方应用无变化；对于自建应用，所有下游企业的回调消息均推送给上游企业的回调URL，而消息里面的企业信息是下游企业的信息。
  
• 版本变更事件。对于付费购买的第三方应用，上游企业付费等行为产生应用版本变更后，所有下游企业均会产生版本变更事件给服务商