0

我是盒子 API 的新手。我为企业创建了一个通用的 iOS 应用程序。现在我需要将 Box.com 与我的应用程序集成。在应用程序中,我们希望用户浏览来自多个服务器以及 Box 的数据。用户可以查看/下载文件夹中的文档并将其保存到 iOS 设备。

企业将在框中创建其用户的帐户。用户使用他/她的公司电子邮件 ID 登录到该框。

我已经下载了 iPhone 'BoxSDK ' 的示例代码,其中包含 Box.framework。并且刚刚调用了 Box 的“ initialLoginUsingURLRedirectWithCallbacks ”方法。并且应用程序重定向到 Safari 并在身份验证后再次使用 openURL 启动应用程序。

我有一些疑问:

1)企业账号登录需要OAuth2.0吗?

2)如果是,为什么需要它?它的重要性是什么?

3)如何使用它?(我已经下载了适用于 iOS 的 OAuth 示例。但它不包含任何 UI 部分。)

我已经参考了 Box 文档/身份验证指南->OAuth2。因为他们已经描述了企业应用程序的设置,这些设置应该是从管理员端完成的。那么它将如何影响客户端(iOS设备)?

4)身份验证指南中解释的Web服务->企业账户与个人账户的OAuth2有什么区别?

谢谢!

4

1 回答 1

0

关于 OAuth2 的一些很棒的哲学问题。让我试着回答他们,但我担心更长的回复将不得不等待博客文章,因为我一直在写一篇文章来解释为什么企业需要 OAuth2 来验证他们的用户。

所以,你想对了。需要 OAuth2 才能登录用户,这主要是因为企业和个人用户都要求安全和隐私。就像 Facebook 和 Google 在 2011 年要求应用用户使用 OAuth2 登录一样,Box 也朝着这个方向发展。简而言之,如果您仔细实施 OAuth2,OAuth1 的一些漏洞和问题将得到解决。

正如许多技术博客和安全专家所指出的那样,OAuth2 标准并不是一个完美的标准。它更像是一套指导方针,这些指导方针可以允许实施者创建一个不太安全的身份验证机制。我们试图避免这些安全问题,并为我们的用户提供尽可能高的安全性,同时又不会让他们很难在 Box 中进行身份验证。

对于您的第三个问题,如何使用它?我建议您阅读我们的文档:http: //developers.box.com/oauth/。它相当复杂,您需要设置一个客户端侦听器,以便我们的服务器可以打开 https 回调并为用户提供令牌,一旦他们完成了使用 Box 的浏览器会话身份验证。

至于企业帐户与个人帐户的差异。我们并不真正认为它们具有不同级别的所需安全性。我们的许多个人和小型企业用户都希望获得与我们为企业客户提供的相同的安全性。虽然我们不会向个人客户提供所有安全功能(例如 2 因素身份验证),但我们会为他们提供 OAuth2 安全性。

希望有帮助。这不是一个普通的堆栈溢出类型的技术问题,用代码片段来解释事情,但希望我已经回答了你的问题。

于 2013-01-23T17:56:43.350 回答