Fatal编程技术网
  • oauth/
  • DocuSign OAuth流

DocuSign OAuth流

oauth docusignapi

DocuSign OAuth流,oauth,docusignapi,Oauth,Docusignapi,我通过以下方式实现DocuSign的OAuth流 根据文档,为了执行OAuth令牌请求,客户端应用程序应显示一个UI,提示用户输入电子邮件/密码,并负责对信息保密,而不是将其存储在本地 我想知道DocuSign是否支持OAuth,因为客户端应用程序不接收用户的电子邮件和密码,只关心用户的身份验证令牌。根据DocuSign文档,它支持两种授权:(1)资源所有者密码凭据授予和(1)SAML2授予,后者是基础OAuth2规范的扩展。这两种授予都不会颁发身份验证令牌。在第一次授予中,资源所有者必须与客户

我通过以下方式实现DocuSign的OAuth流

根据文档,为了执行OAuth令牌请求,客户端应用程序应显示一个UI,提示用户输入电子邮件/密码,并负责对信息保密,而不是将其存储在本地

我想知道DocuSign是否支持OAuth,因为客户端应用程序不接收用户的电子邮件和密码,只关心用户的身份验证令牌。

根据DocuSign文档,它支持两种授权:(1)资源所有者密码凭据授予和(1)SAML2授予,后者是基础OAuth2规范的扩展。这两种授予都不会颁发身份验证令牌。在第一次授予中,资源所有者必须与客户端应用程序共享其凭据。在第二次授予中,资源所有者提前批准客户端应用程序的访问。客户端应用程序生成一个SAML断言,该断言由授权服务器验证,并且(如果该断言有效)被颁发一个访问令牌

身份验证令牌仅由身份验证代码授权使用,根据DocuSign文档,该授权不受支持。

根据DocuSign文档,它支持两种授权:(1)资源所有者密码凭据授权和(1)SAML2授权,这是对基本OAuth2规范的扩展。这两种授权都不会颁发身份验证令牌。在第一次授予中,资源所有者必须与客户端应用程序共享其凭据。在第二次授予中,资源所有者提前批准客户端应用程序的访问。客户端应用程序生成一个SAML断言,该断言由授权服务器验证,并且(如果该断言有效)被颁发一个访问令牌

身份验证令牌仅由身份验证代码授权使用,根据DocuSign文档,该授权不受支持。

在其SOBO(代表发送)功能页上有一些有关OAuth进程的信息。查看探索->功能->SOBO

请求访问令牌非常容易,只需进行以下调用:

URL

https://{server}/restapi/{apiVersion}/oauth2/token
方法

POST
身体

grant_type=password&client_id={IntegratorKey}&username={email}&password={password}&scope=api
对于车身,请确保用您的凭证替换
IntegratorKey
email
password

成功调用将生成以下响应:

{
    "access_token": "<access token for user>",
    "scope": "api",
    "token_type": "bearer"
}
需要记住的一件重要事情是,您的帐户中只允许使用10OAuth令牌(可以在DocuSign控制台的Preferences->Connected Apps屏幕上看到)。如果您有10个令牌并请求一个新令牌,则呼叫将失败,如果您想创建一个新令牌,则需要撤销一个现有令牌。

在其SOBO(代表发送)功能页上有一些关于OAuth进程的信息。查看探索->功能->SOBO

请求访问令牌非常容易,只需进行以下调用:

URL

https://{server}/restapi/{apiVersion}/oauth2/token
方法

POST
身体

grant_type=password&client_id={IntegratorKey}&username={email}&password={password}&scope=api
对于车身,请确保用您的凭证替换
IntegratorKey
email
password

成功调用将生成以下响应:

{
    "access_token": "<access token for user>",
    "scope": "api",
    "token_type": "bearer"
}
需要记住的一件重要事情是,您的帐户中只允许使用10OAuth令牌(可以在DocuSign控制台的Preferences->Connected Apps屏幕上看到)。如果您有10个令牌并请求一个新令牌,则呼叫将失败,如果您想创建一个新令牌,则需要撤销一个现有令牌。

认证令牌指的是仅访问令牌。您能在DocuSign中共享一个描述SAML2 Grant的链接吗?@Asma我刚刚为您发布了一个答案--通过身份验证令牌,我指的是仅访问令牌。您能在DocuSign中共享一个描述SAML2 Grant的链接吗?@Asma我刚刚为您发布了一个答案--因此,我们为什么需要使用用户的密码。Docusign OAuth应该通过向我们提供您第一次生成访问令牌所需的凭据来解决这个问题。生成后,您只需提供访问令牌,不再需要密码。您尝试过我的解决方案吗?是的,我已经使用凭据生成了访问令牌,但我的观点是OAUTH的目的在这里没有实现。客户端应用程序应该与用户的电子邮件和密码无关。Docusign说不要在本地存储密码!如果任何客户端开发了一个存储用户密码的应用程序,并为docusign用户创建安全威胁,该怎么办?在Fiddler中我该怎么做?我可以在DocuSign开发者中心上完成,但在Fiddler中复制时遇到了麻烦。无论我在请求体中输入了什么,我都会得到一个“invalid_scope”错误。我尝试将正文部分(上面)格式化为URL参数样式和JSON。我也在URL上试过。@DanielPrzybylski-你有没有想过?每次都会出现相同的作用域错误,必须使用无效的\u作用域。为什么我们需要使用用户的密码。Docusign OAuth应该通过向我们提供您第一次生成访问令牌所需的凭据来解决这个问题。生成后,您只需提供访问令牌,不再需要密码。您尝试过我的解决方案吗?是的,我已经使用凭据生成了访问令牌,但我的观点是OAUTH的目的在这里没有实现。客户端应用程序应该与用户的电子邮件和密码无关。Docusign说不要在本地存储密码!如果任何客户端开发了一个存储用户密码的应用程序,并为docusign用户创建安全威胁,该怎么办?在Fiddler中我该怎么做?我可以在文件上做