O365 MS Graph API Unified żeton życia

głosy
0

Mam dwa pytania dotyczące użytkowania i tokena ich wygaśnięcia:

1) o kodzie tajnym użytkownika dla aplikacji

Muszę tajny kod uwierzytelniania. Przy tworzeniu tajnego kodu w aplikacji może być zdefiniowana upływie jednego lub dwóch lat. Moim celem jest aplikacją, która użytkownik instaluje, konfiguruje, a to może być „zapomniał”. Ale to wygaśnięcie może oznaczać, że aplikacja zostanie uruchomiona w przypadku braku po upływie jednego roku, czy to prawda? Użytkownik zacznie się błędy tokenów i będzie musiał ponownie ponownej konfiguracji aplikacji (wygenerowanie nowego klucza tajnego i uwierzytelniać się z nim). Mogę dowiedzieć się, wygaśnięcie z tajnym kluczem, więc mogę ustawić powiadomienie dla użytkownika zanim zostanie wygasł? Chciałbym, aby to zrobić, aby uniknąć zatrzymania aplikacji pracuje tylko nagle.

2) uwierzytelnianie klienta odbywa się w dwóch etapach:

  • jeden: identyfikator aplikacji klient + klucz tajny klient źródło + + = kod uwierzytelniania użytkownika
  • dwa: identyfikator aplikacji klient + klient klucz tajny kod + = token + odświeżenie tokena

Okazało się, że jeśli to zrobię kroku jedną i chcę wykonać krok dwa później następnie „kod” z jednym kroku można wygasł. Myślałem, że „kod” nie wygasa, ale nie mogę znaleźć żadnej dokumentacji na ten temat. Czy to prawda, że etap drugi należy zrobić zaraz po pierwszym kroku?

Utwórz 12/02/2016 o 09:55
źródło użytkownik
W innych językach...                            


1 odpowiedzi

głosy
0

1) Jeżeli jest to serwis internetowy, można użyć OAuth 2.0 Poświadczenia klienta Grant przepływu. Z uwagi na bezpieczeństwo, chciałbym zaproponować można utrzymać / aktualizować tajny klucz okresowo, okres tajnego klucza mógłby wynosić jeden rok lub dwa lata. Jeżeli klucz jest zagrożona, nowa trzeba być generowane i wszystkie autoryzowane aplikacje będą musiały być na bieżąco z nowej tajemnicy klienta.

2) Można kliknąć tutaj Szczegółowe informacje na temat sposobu korzystania z protokołu OAuth 2.0 w celu uwierzytelnienia. W odpowiedzi token dostępu Service-to-Service, dostaniesz expires_in (Jak długo token dostępu jest prawidłowy) i expires_on (czas kiedy token dostępu wygasa) informacji. Należy wpisać kod, aby przewidzieć możliwość, że przyznane żeton może przestać działać i poprosić o nowy.

Odpowiedział 18/02/2016 o 01:28
źródło użytkownik

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more