我有一个使用个人访问令牌来访问获取项目列表的应用程序。我想切换到使用 OAuth,应用程序将只使用 ITEMS_READ。
我的应用程序是在专用于该应用程序的安全 Ubuntu 服务器实例上运行的守护程序。关于“应用程序服务器”,Square 有什么建议吗?“应用程序服务器”的典型最佳实践是什么?
谢谢
问问题
116 次
1 回答
1
API 文档相当广泛,并且包括一个关于 OAuth 的有用部分。过去我在 OAuth 实现中注意到的一些常见缺陷导致我提出这些问题:
- 如果您只是为自己使用构建一次性集成,则可能不值得使用 OAuth。
- 确保您了解 OAuth 的工作原理。如果您发现自己在询问用户的客户端机密或个人访问令牌,或者需要他们在 connect.squareup.com 上打开应用程序管理仪表板的任何其他内容,您需要重新考虑您的实施。只有开发人员需要了解访问令牌和其他 API 凭据。
- 您通常可以要求比您需要的最低限度更多的 OAuth 范围。我建议也获得 MERCHANT_PROFILE_READ。这对于管理帐户很有用,因此您可以点击
/v1/me获取所需的各种 ID。 - Square OAuth 访问令牌按此处所述过期。它们会持续 30 天,因此这可能会蔓延到不了解它的开发人员身上。您将需要使用计划任务来更新即将到期的访问令牌,并在此之后清除您的旧令牌。像 cronjob 这样简单的东西应该没问题。
就您使用的技术堆栈而言,这完全取决于您。Square Connect 团队很乐意在可能的情况下提供帮助并提供建议。
于 2015-06-25T09:11:59.090 回答