如何解决请求刷新令牌时,Dropbox OAuth2 API 始终提示用户授予权限
我正在编写一个使用 Dropbox API 的离线应用程序。当用户访问应用程序时,我使用 https://api.dropbox.com/oauth2/token (docs) 获取 refresh_token,我将其存储以备后用。
每次用户登录时我都会调用相同的端点(除非我已经在 cookie 中获取了用户的数据)。我不确定这是最好的方法:我至少需要获取用户的 account_id,以便我可以在数据库中查找他们的 refresh_token(如果我已经有了它) .但是每次我调用 https://api.dropbox.com/oauth2/token 时,用户都会被重定向到 Dropbox 应用授权界面,就好像他们以前从未批准过该应用一样。
所以我想知道如何阻止 Dropbox 每次都强制用户重新授权应用程序。或者,如果这就是 https://api.dropbox.com/oauth2/token 应该如何工作,我希望能够在他们访问我的页面时以某种方式获取他们的 account_id。
(如果相关,该应用此时仍处于开发模式。)
解决方法
https://api.dropbox.com/oauth2/token 端点是一个 OAuth 端点,应用程序可以调用它来获取访问令牌/刷新令牌。作为 API 端点,它本身不会将用户重定向到 Dropbox 应用授权页面。
Dropbox 应用授权页面位于 https://www.dropbox.com/oauth2/authorize (documented here),应用决定是否/何时将用户引导到那里授权应用。
对于“离线”应用程序,对于每个用户,您通常只需通过应用授权流程(将它们发送到 https://www.dropbox.com/oauth2/authorize,然后调用 https://api.dropbox.com/oauth2/token)向用户发送一次。执行此操作后,您应该为该用户存储生成的刷新令牌。您通常会将与其用户帐户相关联的该用户的刷新令牌存储在您自己的应用中。
您在自己的应用程序中管理用户帐户的确切方式取决于它的构建方式,但是,由于这听起来像是一个网络应用程序,通常您会使用用户的浏览器 cookie 来识别用户,当他们返回到您的页面,以便您可以在数据库中查找它们并检索它们的详细信息,例如它们对应的刷新令牌。 (或者,如果他们尚未登录您的网络应用,您可以让他们先登录。)
,Greg 的回答非常有帮助,并且非常礼貌地解决了我对身份验证流程的误解。 (我正在重新审视我多年前编写的旧代码 - 显然我应该比我更好地记录它!)
最后,我认为 Dropbox 迫使我重新授权,因为我的应用程序处于开发模式,并且用户群很小。当我在设置为生产模式的应用程序中使用相同的代码时,它不再强迫我重新授权。所以这个“问题”其实是 Dropbox 的安全功能,解决方案就是使用生产模式。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。