文档服务集成认证

Question

我正在创建一个服务集成，它将需要使用我的Docusign帐户。我从查看身份验证信息开始，并找到了遗留报头页面。这建议不要将其用于服务集成。

以前建议对服务集成进行遗留标头身份验证。DocuSign建议使用服务集成身份验证构建新的服务集成。

所以我决定去服务集成身份验证页面，上面写着

在应用程序模拟用户之前，应用程序必须直接获得用户或其帐户管理员的同意。

然后在“准予同意”一节中指出

用户同意可以从授权代码授予或隐式授权开始。

但是，授权代码授予和隐式格兰特页面都位于页面的最上面。

此补助金不适用于服务集成。

所以我不应该用这些拨款吗？如果我不这样做的话，我就不得不使用Legacy标头身份验证了。我对此没有异议，但为什么建议不要使用它，然后建议不要使用替代方案呢？我是不是遗漏了什么？

Answer 1

很抱歉，服务集成的文档不清楚。我们将努力改善这一状况。

看我的屏风，我把注意力集中在这个问题上。

这是独家新闻：

如果您正在编写应用程序以供您自己的组织使用，则建议使用JWT流进行服务集成。如果您是一个ISV (如果您要将您的软件卖给DocuSign客户)，那么此时还需要考虑其他问题。

要使用JWT流并模拟某人或指定的“系统用户”(通常情况下)，您的应用程序需要得到许可。如果您启用了组织管理，您的组织管理员可以主动授予您的应用程序模拟组织中任何人的权限。

您也可以让每个人单独授予许可。例如，您在DocuSign中创建了一个名为“人力资源部”的用户。然后以"HR部门“的身份登录，并授予该应用程序模拟"HR Dept”的权限。

用户在第一次使用应用程序时就会授予它权限。但是用户不“使用”服务集成！(正如您通过文档发现的那样。)

诀窍是:在DocuSign中将应用程序设置为应用程序(设置一个重定向URI)和JWT应用程序(创建一个公钥/私钥对)。为了方便起见，请将重定向URI设置为现有站点。Eg，https://www.docusign.com

然后，每一个将被模仿的用户一次，告诉他们在浏览器中输入一个特定的URL。该URL是OAuth Auth代码授权流的第一段。它是

${AUTHENTICATION_URL}/oauth/auth?response_type=code&scope=${encoded_scopes}&client_id=${CLIENT_ID}&redirect_uri=${REGISTERED_REDIRECT_URI}`

# AUTHENTICATION_URL = https://account-d.docusign.com  (demo)
# AUTHENTICATION_URL = https://account.docusign.com  (production)
# CLIENT_ID = your integration key
# encoded_scopes = signature%20impersonation
# REGISTERED_REDIRECT_URI = https://www.docusign.com (or whatever
#                            you registered)

当用户输入上述url时，DocuSign将要求他们登录，然后要求他们将权限(作用域)授予您的应用程序。

然后您可以运行您的JWT流(不需要用户)，并且您是最优秀的。

添加:批准同意是每个用户每个集成密钥的一次。

授予同意是每个用户每个集成密钥的一次操作。因此，一旦用户同意了，应用程序就可以继续运行JWT授权流。

注意事项：

• 只有当应用程序需要一个新的访问令牌来模拟用户时，才使用JWT授权流。不要在每个调用之前使用JWT授予流！仅在现有访问令牌已过期或即将过期时才使用该流。
• 如果用户撤销对你的应用程序的同意，那么你的应用程序将需要再次获得同意。