我正在开发一个将 Box 与身份管理环境集成的应用程序,以实现 SSO 和用户生命周期管理。基本上,我们的用户使用 SAML 登录他们的 Box 帐户,然后他们的 Box 帐户的状态根据他们的公司帐户的状态进行管理 - 如果我们终止用户,用户的 Box 帐户需要被禁用。这是在 OAuth2 更改之前正在进行的众多用例之一。
在 OAuth2 更改之前,我能够使用 api_key 和 auth_token 对我的企业管理员帐户进行身份验证。这工作得很好。
现在,使用 OAuth2,我不确定如何继续。根本没有 UI,我也没有地方处理授权令牌的重定向。此外,这是一个使用企业管理员帐户运行的夜间进程,因此每次运行时我都必须获取新的刷新令牌和不记名令牌。
这对我的用例没有多大意义。有替代方案吗?
我正忙着写同样的代码,和你一样沮丧。然而,刷新令牌确实存在 14 天,我打算做的是在注册表中存储加密的返回值。每次运行我的第一个动作是刷新不记名密钥。
然而,目前没有关于逐步淘汰 V1 Auth 方法的时间表,并且由于一些企业内容尚未移植到 API V2,我怀疑如果有足够多的企业推动 BOX API 团队寻求解决方案,我相信他们会听。
老实说,我更喜欢 OAuth2 解决方案,因为它可以阻止您的整个企业数据的密钥作为 API V1 中的 URL 参数在互联网上以明文形式发送,如果有人确实设法破坏了 SSL,那么只能获得一个访问令牌最多值得 60 分钟。
不确定你用什么语言编写例程,但我正在使用 John Hoerr 在 GitHub 上编写的 API V2 SDK,除了他从 .Net 的角度直接修复的一些小问题之外,它使 API 变得更加容易SDK处理的所有反序列化的愉快体验。