リダイレクトサーバーなしで OAuth 2.0 を使用できますか?

Question

SurveyMonkeyAPI と対話するネイティブ Java ベースのクライアントを作成しようとしています。 SurveyMonkey では、OAuth2.0 を使用して有効期間の長いアクセス トークンを生成する必要がありますが、これについてはあまり詳しくありません。数時間グーグルで調べましたが、答えはノーだと思いますが、確認したいのですが、独自のヘビーウェイトをセットアップせずに、SurveyMonkey と対話するための単純な Java クライアントを作成することは可能でしょうか。クラウド? ダイレクトサーバー?独自のオンラインサービスが必要だと思う

P粉949190972 · Answer

はい、コールバック URL なしで OAuth2 を使用することは可能です。 #RFC6749 では、いくつかのプロセスが導入されています。暗黙的フロー (現在は非推奨です #[1]^{) と認可コードフロー} (認可コード) にはリダイレクト URI が必要です。ただし、リソース所有者のパスワード認証プロセス (これも非推奨です #[1]) は必要ありません。 RFC6749 の公開以来、

リダイレクト URI を必要としない他の仕様も公開されました。

RFC7522

RFC7523
RFC8628
Kerberos 付与タイプ: https://is.docs.wso2.com/en/5.9.0/learn/kerberos-grant/
を参照してください。さらに、OpenID Connect を使用する場合、応答パターンは必ずしも

パラメーターへのリダイレクトではなく、そのエンドポイントへの POST リクエストになる可能性があります。詳細については、

OAuth 2.0 フォーム POST 応答パターン 仕様を参照してください。 とにかく、上記の認証タイプがニーズに合わない場合は、カスタム認証タイプ

を作成できます。

[1]:

OAuth 2.1 仕様 (ドラフト 07)

P粉713866425 · Answer

は完全に正確ではありません。OAuth プロセスの要点は、ユーザー (データにアクセスする代理のクライアント) がデータにアクセスする許可を与える必要があるということです。

「認証手順」を参照してください。ユーザーを OAuth 認証ページに送信する必要があります: リーリーこれにより、アカウントのどの部分へのアクセスを要求しているのかを示すページがユーザーに表示されます (アンケートの表示、回答の表示など)。ユーザーがそのページで「承認」をクリックして承認すると、SurveyMonkey はリダイレクト URI として設定したページに自動的にジャンプし (上記の URL のリダイレクト URI がアプリケーション設定で設定したものと一致することを確認してください)、承認コードに戻ります。

したがって、リダイレクト URL が

https://example.com/surveymonkey/oauth

の場合、SurveyMonkey は認証コードを使用してユーザーをその URL にリダイレクトします:

https://example.com/surveymonkey/oauth?code=

その後、その認証コードを使用して POST リクエストを

https://api.surveymonkey.net/oauth/token?api_key=

に送信してアクセストークンを交換する必要があります。次の POST パラメータを提供します: リーリーこれにより、ユーザーアカウントのデータにアクセスするために使用できるアクセストークンが返されます。アクセストークンをユーザーに与える必要はありません。アクセストークンはユーザーアカウントにアクセスするために使用されます。ポーリングやその他の操作は必要ありません。

自分のアカウントにのみアクセスしている場合は、アプリケーション設定ページで提供されるアクセストークンを使用できます。それ以外の場合は、独自のリダイレクトサーバーを設定しない限り、ユーザーのアクセストークンを取得する方法はありません (すべてのユーザーが同じグループに属している場合、つまり、同じアカウントに複数のユーザーが属している場合を除きます。ただし、それについては説明しません)。 SurveyMonkey には認証コードを送信する場所が必要ですが、単にリクエストすることはできません。