我正在开发一个应用程序,它将Box与身份管理环境集成在一起,以实现SSO和用户生命周期管理。基本上,我们的用户使用SAML登录他们的Box帐户,然后根据他们的公司帐户的状态管理他们的Box帐户的状态 - 如果我们终止用户,则用户的Box帐户需要被禁用。这是OAuth2更改之前正在进行的许多用例之一。
在更改OAuth2之前,我能够使用api_key和auth_token对我的企业管理员帐户进行身份验证。这非常有效。
现在,使用OAuth2,我不知道如何继续。这根本没有用户界面,我无处理授权令牌的重定向。此外,这是一个使用企业管理员帐户运行的夜间进程,因此每次运行时我都必须获得新的刷新令牌和持票令牌。
这对我的用例没有多大意义。还有其他选择吗?
答案 0 :(得分:3)
我正忙着用同样的挫折写同样的代码。但是,刷新令牌可以存活14天,我打算做的是存储在注册表中加密的返回值。每次运行我的第一个动作是刷新持票人密钥。
然而,目前没有关于逐步淘汰V1 Auth方法的时间表,因为有些企业的东西还没有被移植到API V2我怀疑如果有足够的企业推动BOX API团队寻求解决方案我相信他们会听。
如果我是诚实的,我更喜欢OAuth2解决方案,因为它停止了整个企业数据的密钥作为API V1中的URL参数以明文形式通过互联网发送,如果有人设法打破SSL,那么只能获得访问令牌最多值60分钟
不确定您编写例程的语言是什么,但我正在使用John Hoerr在GitHub上编写的API V2 SDK,除了他已经从.Net视角直接修复的一些小问题之外,它使得命中API SDK处理的所有de \ serialization带来更愉快的体验。