从BIM360商店添加到BIM360帐户的第三方网络应用获取访问令牌的推荐方法是什么?有人能指出我正确的文件吗?
在BIM360文档中启用API访问时,它仅提供客户端ID(不是客户端密钥)。是正确的理解吗?
因此,我们将不得不依赖于“带有隐式授权的3条腿令牌”,这可以在没有客户端密钥的情况下获得。如果用户停留在第三方应用页面上会发生什么(不返回BIM360页面)?令牌是否过期?如果是,第三方应用如何在没有客户端密钥的情况下刷新令牌?
由于
答案 0 :(得分:0)
您可以在我们的开发人员中心找到有关3脚工作流程的文档:
Get a 3-Legged Token with Authorization Code Grant
Get 3-legged Token with Implicit Grant
我们的Forge博客上也有文章:
Landing your Forge OAuth authentication workflow
3-legged OAuth on desktop apps (C# & WinForm)
我们的github repository上有多个样本。
客户端密钥应始终在您自己的服务器上保持安全,绝不会与任何应用程序共享。
三条腿令牌在30分钟后到期,正如我在上面指出的link所述:
此处与授权代码授予类型的主要区别在于 客户端收到访问令牌作为结果 授权请求。在这种情况下不会发出刷新令牌 这需要在访问后重复授权过程 令牌到期。
答案 1 :(得分:0)
我认为你在这里混合概念:
BIM 360配置:由BIM 360帐户管理员执行此操作。此步骤仅需要 Forge客户ID 。作为described here,帐户管理员将指定应用可以通过三条令牌访问帐户信息和文件。
OAuth 3-legged :登录您应用的每位用户都需要执行此授权。如上所述,这可以是Code Grant或Implicit Grant,请阅读相关链接的差异。总之,第一个是在您的应用服务器端使用ID&秘密,第二个是在您的应用客户端使用客户端ID(不可避免地暴露)执行。由于您的用户在您的应用上停留了很长时间,我建议您使用代码授予时间,并且您的应用确保在到期时刷新令牌。
正如您提到 webapp ,答案是服务器和客户端。你有什么编程语言?
修改