从 BIM360 商店添加到 BIM360 帐户的第 3 方 Web 应用程序获取访问令牌的推荐方法是什么?有人可以指点我更正文档吗?
在 BIM360 Docs 中启用 API 访问时,它只提供客户端 ID(而不是客户端密钥)。是正确的理解吗?
因此,我们将不得不依赖“具有隐式授权的 3-legged Token”,它可以在没有 Client Secret 的情况下获得。如果用户停留在 3rd 方应用程序的页面(没有返回 BIM360 页面)会发生什么?令牌是否过期? 如果是这样,第 3 方应用程序如何在没有 Client Secret 的情况下刷新令牌?
谢谢
您可以在我们的开发者中心找到有关 3-legged 工作流程的文档:
我们的 Forge 博客上也有文章:
桌面应用程序上的三足 OAuth(C# 和 WinForm)
以及我们的github 存储库中的多个示例。
Client Secret 应该始终在您自己的服务器上保持安全,并且永远不要与任何应用程序共享。
3-legged token 在 30 分钟后过期,正如我在上面指出的链接中提到的:
这里与授权码授权类型的主要区别在于客户端接收访问令牌作为授权请求的结果。在这种情况下不会发出刷新令牌,这需要在访问令牌过期后重复授权过程。
我认为您在这里混合了概念:
BIM 360 配置:由 BIM 360 帐户管理员执行一次。此步骤仅需要Forge 客户端 ID。如此处所述,帐户管理员将指定应用程序可以通过三足令牌访问帐户信息和文件。
OAuth 3-legged:每个登录您的应用程序的用户都需要执行此授权。如前所述,这可以是Code Grant或Implicit Grant,请阅读各自链接上的差异。总而言之,第一个是在您的应用程序服务器端使用 ID 和 Secret 执行的,第二个是在您的应用程序客户端使用 Client ID 执行的(不可避免地会暴露)。由于您的用户在您的应用程序上停留了很长时间,我建议您使用代码授予时间,并且您的应用程序确保在令牌到期时刷新令牌。
正如您提到的webapp答案是服务器和客户端。你有什么编程语言?
编辑