我使用OAuth 2.0进行Box.net授权。我无法通过任何方式以编程方式获得访问令牌(无需用户交互)。有没有其他选择可以从应用程序后端实现这一点?
OAuth2的整个想法是,用户必须"授予"或"拒绝"您的应用程序访问您要求访问的资源。与旧的开放世界不同,在旧世界中,用户可能只会给您他们的帐户密码,这样您就可以用它登录他们的帐户,并假设您不会更改任何重要的内容(如他们的密码),OAuth2希望用户自己登录网站,并让网站知道您的应用程序现在对其帐户的访问权限有限。
除了更好的安全性(不是完美的安全性)之外,另一个好处是,如果企业使用LDAP/Active Directory/Tivoli/Kerberos/Shiboleth/Okta,那么无论用户必须经历什么疯狂的2(或4或6)因素身份验证,您的应用程序都不需要知道如何跳过这些障碍。
只有管理员可以扩展这种功能,他们可以通过企业帐户访问一定数量的信息。然而他们仍然必须登录到Box帐户,才能让应用程序通过OAuth2访问他们的管理功能。假设管理员会更加小心地登录到哪些应用程序。
也许您正在为一个大型Box客户构建一个内部应用程序。让管理员通过OAuth2流登录到他们的Box帐户。
如果您只是使用脚本自动执行某些操作,那么让用户登录一次,并将访问令牌和刷新令牌存储在密钥库中。像对待密码一样对待它们。