没有 UI 的 OAuth2？

Question

我正在开发一个将 Box 与身份管理环境集成的应用程序，以实现 SSO 和用户生命周期管理。基本上，我们的用户使用 SAML 登录他们的 Box 帐户，然后他们的 Box 帐户的状态根据他们的公司帐户的状态进行管理 - 如果我们终止用户，用户的 Box 帐户需要被禁用。这是 OAuth2 更改之前正在进行的众多用例之一。

在 OAuth2 更改之前，我能够使用 api_key 和 auth_token 对我的企业管理员帐户进行身份验证。这非常有效。

现在，使用 OAuth2，我不确定如何继续。根本没有用户界面，我没有地方处理授权令牌的重定向。此外，这是一个使用企业管理员帐户运行的夜间进程，因此每次运行时我都必须获取新的刷新令牌和不记名令牌。

这对我的用例没有多大意义。有其他选择吗？

Answer 1

我正忙着写同样的代码，和你一样沮丧。然而，刷新令牌确实存在 14 天，我打算做的是在注册表中存储加密的返回值。每次运行我的第一个动作是刷新不记名密钥。

然而，目前没有关于逐步淘汰 V1 Auth 方法的时间表，而且由于一些企业的东西尚未移植到 API V2，我怀疑如果有足够多的企业推动 BOX API 团队寻求解决方案，我相信他们会听的。

老实说，我更喜欢 OAuth2 解决方案，因为它会阻止您的整个企业数据的密钥作为 API V1 中的 URL 参数以明文形式通过 Internet 发送，并且如果有人确实设法破坏了 SSL，那么只会得到一个访问令牌，最长 60 分钟。

不确定您使用哪种语言编写例程，但我正在使用由 John Hoerr 在 GitHub 上编写的 API V2 SDK，除了他从 .Net 的角度直接修复的一些小问题之外，它使 API SDK 处理的所有反序列化的体验更加愉快。