我正在开发一个应用程序,该应用程序将 Box 与身份管理环境集成,以实现 SSO 和用户生命周期管理。基本上,我们的用户使用 SAML 登录他们的 Box 帐户,然后根据其公司帐户的状态管理他们的 Box 帐户的状态 - 如果我们终止用户,则需要禁用该用户的 Box 帐户。这是 OAuth2 更改之前正在进行的众多用例之一。
在 OAuth2 更改之前,我能够使用 api_key 和 auth_token 来验证我的企业管理员帐户。这非常有效。
现在,有了 OAuth2,我不知道如何继续。根本没有任何 UI,而且我没有地方处理授权 token 的重定向。此外,这是一个使用企业管理员帐户运行的夜间进程,因此每次运行时我都必须获取新的刷新 token 和不记名 token 。
这对于我的用例来说没有多大意义。有替代方案吗?
最佳答案
我正在忙着编写相同的代码,并且与您有同样的挫败感。然而,刷新 token 的有效期为 14 天,我计划做的是将返回的值加密存储在注册表中。每次运行我的第一个操作是刷新承载 key 。
然而,目前没有关于逐步淘汰 V1 Auth 方法的时间表,并且由于一些企业内容尚未移植到 API V2,我怀疑如果有足够多的企业插入 BOX API 团队寻求解决方案,我我确信他们会听。
老实说,我更喜欢 OAuth2 解决方案,因为它可以阻止整个企业数据的 key 作为 API V1 中的 URL 参数以明文形式在互联网上发送,并且如果有人确实设法破坏了 SSL,那么只能得到一个最多 60 分钟的访问 token 。
不确定你用什么语言编写例程,但我正在使用 John Hoerr 在 GitHub 上编写的 API V2 SDK,除了他直接从 .Net 角度修复的一些小问题之外,它还使得 API 变得可用SDK 处理的所有反序列化操作都会带来更愉快的体验。
关于box-api - OAuth2 没有 UI?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14264101/