跳转到主内容
Procore

如何处理第三方应用程序的安全问题?

Procore API 安全

Procore 客户可能会询问如何处理第三方开发人员使用 Procore API 构建的应用程序和集成的安全。Procore 采用许多人认为的 API 身份验证行业标准 - OAuth 2.0。OAuth 2.0 身份验证框架提供一种安全的方式来授权和验证第三方应用程序对用户数据的访问。OAuth 2.0 依赖 SSL(安全套接层)来确保 Web 服务器和浏览器之间的数据传输保持私密性和安全性。OAuth 2.0 通过提供访问权限而不泄露用户身份来保护 Procore 用户数据。第三方应用程序代表用户发出请求,而不会访问密码和其他敏感信息。

使用 Procore API 构建解决方案的开发人员,根据其特定的应用程序用例实施多种 OAuth 2.0 授权类型中的一种。Procore API 支持的 OAuth 2.0 授权类型依赖于使用加密令牌,这些令牌是表示特定应用程序的授权和身份验证的字符串值,以代表 Procore 用户访问 Procore 中的数据。

其他注意事项

应用程序管理

公司管理员还可以通过适当的应用程序管理,促进良好的安全实践。公司管理员使用公司级别管理员工具中的应用程序管理功能,执行与安装和管理应用程序相关的各种任务,并将其配置为在项目中使用。公司管理员可以完全控制公司中安装的应用程序,并监督项目中的应用程序使用情况。可以通过启用允许用户安装选项来委派应用程序安装。

服务账户

有很多配合 Procore 使用的集成利用服务账户来处理授权和身份验证。服务账户允许你支持需要 OAuth 2.0 规范中定义的客户端凭据授予流程的集成。在这种情况下,应用程序需要一种方法能在任何特定 Procore 用户的环境之外恢复 OAuth 2.0 访问令牌。OAuth 2.0 为此提供了客户端凭证授权类型。当公司管理员创建新的服务账户时,会生成唯一的 client_idclient_secret。创建服务账户后,公司管理员可以配置服务账户权限,具体定义集成将如何访问 Procore 中的数据,以及允许哪些操作。

 注意
Procore 中的应用程序和用户凭据受到保护,以防任何恶意攻击者的攻击,其保护方式与我们所有其他数据的保护方式相同。尽管所有第三方开发人员都同意 Procore 开发人员门户使用条款,但并非在所有情况下我们都特别了解他们自己的安全实践。