Angepasste HTML-Formulare für die Benutzersicherheit können während der
Berechtigungsphase in OAuth erstellt werden.
Die native OAuth-Provider-Konfiguration schließt die
Benutzerberechtigung ein, wenn die Erteilungstypen "Implizit", "Zugriffscode"
oder "Kennwort für Ressourceneigner" verwendet werden. Sie können auswählen, wie Anwendungsbenutzer autorisiert werden sollen; eine der Optionen ist „Benutzerdefiniertes HTML-Formular “. In diesem Thema wird beschrieben, wie das angepasste HTML-Formular für die
Berechtigung erstellt wird.
Informationen zu dieser Task
Bei den dreiseitigen „ OAuth “-Definitionen (impliziter Ablauf, Ablauf mit dem Passwort des Ressourcenbesitzers und Ablauf mit dem Zugriffs- (Autorisierungs-)Code) erteilt der Benutzer einer Anwendung über ein Autorisierungsformular die Erlaubnis, auf seine Daten zuzugreifen. Sie können ein angepasstes Formular oder
ein Standardformular präsentieren. Das angepasste Formular muss bestimmte Anforderungen
erfüllen.
Wichtig: Die Feldnamen, die von IBM® API Connect zum Einfügen von Informationen in Ihr Formular verwendet werden, unterscheiden zwischen Groß- und Kleinschreibung.
Führen Sie die folgenden Schritte aus, um ein angepasstes
Berechtigungsformular für Ihren nativen OAuth-Provider zu erstellen:
- Erstellen Sie ein ordnungsgemäß formatiertes XHTML-Dokument. Dies wird von API Connect analysiert, um versteckte Felder einzufügen.
- Legen Sie für Ihr XHTML-Formular die Methode als POST, den Codierungstyp als application/x-www-form-urlencodedund die Aktion als authorizefest. Fügen Sie weitere Parameter
hinzu, die für Sie erforderlich sind.
Beispiel:
<form method="POST" enctype="application/x-www-form-urlencoded" action="authorize">
- Fügen Sie die Zeile hinzu. <AZ-INJECT-HIDDEN-INPUT-FIELDS/>. Diese Zeile ist ein Platzhalter, der durch Eingabefelder API Connect ersetzt wird, die für den Abschluss des Vorgangs unter OAuth erforderlich sind.
- Erstellen Sie zwei Schaltflächen mit dem folgenden Code, damit der Benutzer die
Berechtigung gewähren oder verweigern kann. Bearbeiten Sie den Text nach Ihren Vorgaben.
<button class="cancel" type="submit" name="approve" value="false">No Thanks</button>
<button class="submit" type="submit" name="approve" value="true">Allow Access</button>
- Optional: Zeige eine Fehlermeldung an, wenn ein Fehler im benutzerdefinierten Formular verhindert, dass es dem Benutzer korrekt angezeigt wird. Verwenden Sie den Tag
<AZ-INTERNAL-CUSTOM-FORM-ERROR/>; der Nachrichtentext wird
automatisch generiert. Sie sollten solche Fehler während der Tests erkennen, um zu verhindern, dass diese Fehlermeldung dem Benutzer angezeigt wird.
- Optional: Sie können dem Formular HTML-Elemente hinzufügen, die Inhalte aus externen Quellen laden, beispielsweise Bilder oder JavaScript.
Beispiel: <script src="http://www.example.com/example.js"
/>
- Fügen Sie nach Bedarf Abstände und zusätzliche Elemente ein. Wenn Sie die Schritte 1 bis 6 ausführen, erhalten Sie ein Formular, das dem folgenden Beispiel ähnelt:
<html lang="en" xml:lang="en">
<head><title>Request for permission</title></head>
<body class="customconsent">
<div>
<div>
<form method="post" enctype="application/x-www-form-urlencoded" action="authorize">
<AZ-INJECT-HIDDEN-INPUT-FIELDS/>
<p>Greeting..</p><DISPLAY-RESOURCE-OWNER/>
<p>This app </p><OAUTH-APPLICATION-NAME/><p> would like to access your data.</p>
<div>
<button class="cancel" type="submit" name="approve" value="false">No Thanks</button>
<button class="submit" type="submit" name="approve" value="true">Allow Access</button>
</div>
</form>
</div>
<AZ-INTERNAL-CUSTOM-FORM-ERROR/>
</div>
</body>
</html>
- Machen Sie Ihr Formular unter einer URL Ihrer Wahl verfügbar.
- Wenn Sie dies noch nicht getan haben, konfigurieren Sie Ihren nativen OAuth-Provider
so, dass ein angepasstes HTML-Formular zur Berechtigung für die Benutzersicherheit
verwendet wird. Geben Sie die URL als Endpunkt an, an dem Ihr Formular verfügbar ist.