我正在使用OAuth 2.0进行Box.net授权。 我没有任何方式以编程方式获取访问令牌(没有用户交互)。 有没有其他方法可以从应用程序后端实现这一目标?
答案 0 :(得分:0)
OAuth2的整体想法是用户必须"授予"或者"拒绝"您的应用程序访问您要求访问的资源。不像旧的开放世界,用户可能只是给你他们的帐户密码,所以你可以使用它来登录他们的帐户,并假设你不会改变任何重要的东西(如他们的密码),OAuth2想要用户自己登录网站,让网站知道您的应用现在对其帐户的访问权限有限。
另一个好处是,除了更好的安全性(不完美的安全性)之外,如果企业使用LDAP / Active Directory / Tivoli / Kerberos / Shibboleth / Okta,那么无论用户具有多少疯狂的2(或4或6)因子认证箍通过,您的应用程序不需要知道如何跳跃这些篮球。
扩展此功能的唯一情况是管理员,他们可以访问企业帐户中的一些信息。然而;他们仍然必须登录Box帐户才能让应用程序通过OAuth2访问其管理功能。假设管理员会更加小心他们签署哪些应用程序。
也许您正在为大Box客户构建内部应用程序。让管理员通过OAuth2流程登录其Box帐户。
如果您只是使用脚本自动执行某些操作,请让用户登录一次,并将访问令牌和刷新令牌存储在密钥库中。像密码一样对待它们。