如何处理第三方应用程序的安全问题?
Procore API 安全
Procore 客户可能会询问如何处理第三方开发人员使用Procore API构建的应用程序和集成的安全性。Procore 采用许多人认为的API身份验证行业标准 - OAuth 2.0。OAuth 2.0 身份验证框架提供了一种安全的方式来授权和验证第三方应用程序对用户数据的访问。OAuth 2.0 依靠 SL(安全套接字层)来确保 Web 服务器和浏览器之间的数据传输保持私密且安全。OAuth 2.0 通过提供访问权限而不会披露用户身份来保护 Procore 用户数据。第三方应用程序无需访问密码和其他敏感信息即可代表用户发出请求。
使用Procore API构建解决方案的开发人员,根据其特定的应用程序用例实施多种OAuth 2.0 授权类型中的一种。Procore API支持的OAuth 2.0 授权类型依赖于使用加密令牌,这些令牌是表示特定应用程序的授权和身份验证的字符串值,以代表 Procore 用户访问 Procore 中的数据。
其他注意事项
应用程序管理
公司管理员还可以通过适当的应用程序管理,促进良好的安全实践。公司管理员使用公司级别管理员工具中的应用程序管理功能,执行与安装和管理应用程序相关的各种任务,并将其配置为在项目中使用。公司管理员可以完全控制公司中安装的应用程序,并监督项目中的应用程序使用情况。可以通过启用允许用户安装选项来委派应用程序安装。
服务账户
有很多配合 Procore 使用的集成利用服务账户来处理授权和身份验证。服务账户允许你支持需要 OAuth 2.0 规范中定义的客户端凭据授予流程的集成。在这种情况下,应用程序需要一种方法能在任何特定 Procore 用户的环境之外恢复 OAuth 2.0 访问令牌。OAuth 2.0 为此提供了客户端凭证授权类型。当公司管理员创建新的服务账户时,会生成唯一的 client_id 和 client_secret。创建服务账户后,公司管理员可以配置服务账户权限,具体定义集成将如何访问 Procore 中的数据,以及允许哪些操作。