使用什么样的好OAUTH 2.0工作流程来确保使用salesforce标识访问外部托管的web API,从而防止对web API的所有请求被未经授权的访问?
我最初认为用户会通过直接与身份验证端点通信来生成OAUTH访问令牌,然后将该令牌传递给外部web API,用于他们发出的每个请求,在执行工作之前,该令牌将由web API进行验证。
然而,似乎没有";验证访问令牌";salesforce身份验证端点上的请求,web API可以使用该请求来验证访问令牌。我在Salesforce文档中看不到任何特定于此用例的身份验证流,所以我认为我误解了什么。
为什么不直接调用SF中的某些内容?如果您获得的访问令牌无效(会话已过期,管理员在安装程序中终止了会话->会话管理等(,它会失败吗?成功登录后调用id资源(请参阅https://salesforce.stackexchange.com/q/11728/799)或者对User对象或/limits资源运行查询。。。任何东西
这可能是一种过度处理(真的,对每个请求进行验证?(,当用户没有被标记为"时,它可能会失败;API启用";在SF中。每次调用时,它都会重置会话超时计数器。
也许也可以在salesforce.stackexchange.com上询问。