認証方法
認証方法
Boxには、アプリケーション開発のためのさまざまな認証方法が用意されており、それぞれが異なるユースケースやアプリケーションの種類に対応しています。使用する認証方法に関係なく、基本的な原則が適用されます。ユーザーは、メインのBoxウェブアプリのフロントエンドでコンテンツにアクセスできない場合、別のユーザーになりすまさない限り、APIを使用してコンテンツにアクセスすることはできません。APIエンドポイントの中には、イベントなど、管理者レベルの権限が必要なものもあります。
各種Boxアプリケーションでは、以下の承認方法を使用できます。
Boxアプリケーションの種類 | OAuth 2.0をサポートしますか? | JWTは? | クライアント資格情報は? | アプリトークンは? |
---|---|---|---|---|
カスタムアプリ | はい | はい | はい | いいえ |
アクセス制限付きアプリ | いいえ | はい | いいえ | はい |
カスタムスキル | いいえ | いいえ | いいえ | いいえ |
OAuth 2.0
OAuth 2.0はクライアント側の認証方法で、そのシンプルさからBox APIに対するユーザーの承認で広く使われています。これはオープンスタンダードであり、ユーザーはアプリケーションに対して他のアプリケーション内の自分のデータへのアクセスを許可できるようになります。Boxのクライアント側認証では、Twitter、Facebook、Googleを使用してウェブサイトにログインする仕組みと同様に、ユーザーはアプリからBoxウェブアプリにリダイレクトされるので、そこでログインしてアプリに自分のデータへのアクセスを許可します。たとえば、Boxではコミュニティフォーラムにログインするユーザーに対してこの認証タイプを使用します。
Python OAuth 2.0に関する有用なチュートリアルについては、GitHubを参照してください。
JSONウェブトークン (JWT)
JSONウェブトークン (JWT) は、Box APIの最も一般的なサーバー側認証方法です。JWTはオープンスタンダードであり、堅牢なサーバー間認証を実現します。この方法は、カスタムアプリのみに限定されており、エンドユーザーによる操作は必要ありません。適切な権限が付与されているアプリは、企業内の任意のユーザーの代理として操作できるため、強力でシームレスな統合が促進されます。管理者が承認すると、JWTアプリケーションには、デフォルトで、APIコールを行うサービスアカウントが割り当てられます。
Node JWTに関する有用なチュートリアルについては、Mediumを参照してください。