Re: Я начал с пути использования OAuth2, но затем выяснил, что срок действия маркера обновления истекает, и из того, что я читаю, пользователь должен будет снова пройти аутентификацию (взаимодействие с пользователем каждый раз).
Обычно срок обновления не истекает, а токен доступа -.
Я правильно читаю?
Не полностью. Пожалуйста, используйте код авторизации, как вы изначально планировали.
Вот совок:если вы запрашиваете область действия extended
(в дополнение к области действия signature
), то возвращенный токен обновления будет полезен для еще 30 дней каждый раз, когда ваше приложение использует операцию обновления.
Пример:
День 1: Человек входит в DocuSign с использованием кода авторизации Предоставление потока через ваше приложение.Запрос области действия: signature%20extended
Ваше приложение получает от DocuSign товар Access Token
сроком на 8 часов, а Refresh Token
сроком на 30 дней.Ваше приложение хранит токен обновления в энергонезависимой памяти.
День 23: Человек снова хочет использовать ваше приложение с DocuSign.Ваше приложение использует сохраненный токен, чтобы сделать запрос на обновление токена для DocuSign.(Взаимодействие с человеком не требуется.) Ваше приложение получает обратно токен доступа, действительный в течение 8 часов, и новый Refresh Token
, действительный в течение 30 дней с этого момента (до дня 53).Ваше приложение хранит (заменяет) токен обновления в энергонезависимой памяти.
Результат Пока ваше приложение использует / обновляет токен обновления не реже одного раза в 30 дней, оно всегда будет иметьтокен обновления DocuSign можно использовать для получения токена доступа без участия человека.
Предупреждение Проблема безопасности, инициированная клиентом DocuSign или самим DocuSign, может привести к обновлению и / илиили токен доступа больше не действителен и, следовательно, требует, чтобы пользователь вручную прошел аутентификацию в DocuSign.Но это может быть неожиданным событием, которое также повлияет на токены доступа, полученные с помощью потока аутентификации JWT.
Пожалуйста, зарезервируйте поток JWT для случаев, когда он необходим. Поток JWT позволяетприложение для выдать себя за пользователя.Это более высокий уровень доступа, поэтому его не следует использовать, если есть хорошая альтернатива.Если пользователь присутствует, то рекомендуется использовать код авторизации.
В связи с вашей проблемой с потоком JWT: Попробуйте наш новый пример Java JWT , чтобы увидетьесли это поможет.