Ce qui a changé et pourquoi.
L’expérience utilisateur
Jusqu’à récemment, vous pouviez générer un jeton de Management APIv2 directement à partir de l’explorateur . Vous avez sélectionné les permissions, en fonction du point de terminaison que vous souhaitiez invoquer, et vous avez obtenu un jeton à partir de cette même page. Cette méthode était très facile, mais elle était également très peu sûre. Nous l’avons donc modifiée. La nouvelle méthode utilise le flux des identifiants client. Pour apprendre à utiliser le nouveau processus, consultez Jetons d’accès à Management API.Pourquoi cela a-t-il changé?
Pour générer le jeton, Management API nécessitait l’accès à votre Secret global du client (utilisé pour signer le jeton). C’est une information qui ne devrait pas être exposée aux navigateurs web. En outre, l’explorateur d’API ne dispose d’aucun moyen d’autorisation. Cela signifie que si un utilisateur pouvait se connecter et accéder à API Explorer, il pourrait générer un jeton avec n’importe quelle permission, même s’il n’était pas autorisé à avoir cette permission. La nouvelle implémentation ne présente pas de tels risques. Une fois que vous avez effectué la configuration initiale, vous pouvez obtenir un jeton soit en visitant , soit en effectuant une simple requêtePOST vers le point de terminaison /oauth/token de notre Authentication API.
Cependant, en ce qui concerne le processus manuel, nous comprenons que changer d’écrans ne constitue pas toujours la meilleure expérience utilisateur. Nous cherchons donc des moyens de rendre le nouveau flux plus intuitif.