我正在将Outlook的日历REST API与我的个人系统集成在一起。 使用授权码授予流程,我可以使用户登录到我在https://apps.dev.microsoft.com中注册的应用程序。用户成功登录后,我将在重定向URL上收到一个代码。使用该代码,我获取了他的不记名令牌(oAuth基本代码流)。
现在,他们的文档令人困惑。它们有3种API,o365,outlook.office和graph。我将他们的图形API用于日历资源。 我正在使用https://graph.microsoft.com/v1.0/me/calendarview从主日历中获取事件,https://graph.microsoft.com/v1.0/me/events在主日历中创建事件,并使用https://graph.microsoft.com/beta/ $ batch批处理请求。
我想在这里介绍一些情况。当用户更改其Outlook密码时,我需要该用户重新登录该应用程序,以便可以使用有效的承载令牌。从Outlook documentation看来,用户更改密码后,刷新令牌就立即失效(搜索刷新令牌就失效);这意味着,在最坏的情况下,我可以使用一个承载令牌一个小时(默认)来验证API的身份。
oAuth流程是否正常?我一直认为,当用户更改密码时,承载令牌将失效。
因为我在组织中工作,所以我希望我的应用程序只能由组织中的AD用户访问。应用程序清单中有一个名为availableToOtherTenants的字段,默认为true。我将该字段更改为false,以便只有属于组织AD的用户才能访问它。但是看起来我也可以使用我的个人Outlook帐户登录该应用程序;尽管有这种变化。
我在这里做错了什么?我通过注册正确地做到这一点吗 https://apps.dev.microsoft.com中的应用程序?