I client OAuth hanno una proprietà kind che può avere uno dei seguenti valori:

• Privato: I client OAuth privati vengono eseguiti su server sicuri in cui le relative credenziali possono essere mantenute al sicuro. Questi client possono usare PKCE, client segreti o entrambi.
• Pubblico: I client OAuth pubblici sono applicazioni eseguite in ambienti in cui le credenziali non possono essere archiviate in modo sicuro, come app per dispositivi mobili e web. Questi client devono usare PKCE.

Esempi di client confidenziali includono le applicazioni web lato server. Quando il server di autorizzazione invia i token o le credenziali all’applicazione web, queste non vengono mai rese accessibili all’esterno.

Esempi di client pubblici includono le applicazioni per dispositivi mobili e le applicazioni JavaScript eseguite su client user agent, come i browser web. Le credenziali sono facilmente accessibili (e spesso visibili) in questi client.

Nella specifica OAuth, i client possono essere indicati anche come tipi di client. Per maggiori informazioni, consulta Tipi di client nella specifica OAuth 2.0.

Questa proprietà si applica solo al sistema di ticketing Zendesk Support. Non è supportato in Chat, Conversazioni o Sell.

I client Zendesk OAuth esistenti hanno attualmente la proprietà kind impostata su unknown. Questi client rimangono inalterati finché la proprietà kind viene aggiornata a public o confidential. I nuovi client OAuth creati nel Centro amministrativo devono impostare la proprietà kind durante la creazione.

L’impostazione della proprietà kind è obbligatoria per tutti i nuovi client OAuth creati nel Centro amministrativo. Sebbene la proprietà kind non sia obbligatoria per i client OAuth creati con api/v2/oauth/clients endpoint, Zendesk consiglia di includerla.

Innanzitutto, l’applicazione deve indirizzare l’utente alla pagina di autorizzazione Zendesk. La pagina chiede all’utente di autorizzare la tua applicazione ad accedere a Zendesk per suo conto. Dopo che l’utente effettua la scelta, Zendesk la invia all’applicazione insieme ad altre informazioni.

Per indirizzare l’utente alla pagina di autorizzazione Zendesk

Aggiungi un link o un pulsante nella tua applicazione per indirizzare l’utente al seguente URL:

https://{subdomain}.zendesk.com/oauth/authorizations/new

dove {subdomain} è il tuo sottodominio principale Zendesk, non un sottodominio mappato all’host.

Puoi usare una richiesta POST o GET. Includi i seguenti parametri:

• response_type: obbligatorio. Zendesk restituisce un codice di autorizzazione nella risposta, quindi specifica code come tipo di risposta. Esempio: response_type=code.
• redirect_uri: obbligatorio. L’URL che Zendesk deve usare per inviare la decisione dell’utente di concedere l’accesso alla tua applicazione. L’URL deve essere assoluto e non relativo. Inoltre, deve essere sicuro (https), a meno che non usi localhost o 127.0.0.1.
• client_id: obbligatorio. L’identificatore univoco che hai ottenuto al momento della registrazione della tua applicazione in Zendesk. Consulta la sezione qui sopra.
• scope: obbligatorio. Un elenco di ambiti separati da spazi che controllano l’accesso alle risorse Zendesk. Puoi richiedere un accesso di tipo read, write o impersonate per tutte le risorse o per specifiche risorse. Consulta Impostazione dell’ambito.
• state: una stringa arbitraria inclusa nella risposta di Zendesk dopo che l’utente ha deciso se concedere o meno l’accesso. Puoi usare il parametro per proteggerti da attacchi CSRF(Cross-Site Request Forgery, richiesta intersito falsa). In un attacco CSRF, l’utente finale viene indotto a fare clic su un link che esegue un’azione in un’applicazione web dove l’utente finale è ancora autenticato. Per proteggerti da questo tipo di attacco, aggiungi un valore al parametro state e convalidalo quando ritorna.
• code_challenge: obbligatorio se si usa PKCE. Una stringa che rappresenta una verifica del codice ricavata da un verificatore di codice. Consulta Generazione del valore code_challenge nella documentazione per sviluppatori.
• code_challenge_method: obbligatorio se si usa PKCE. Il metodo usato per ricavare la verifica del codice. Specifica "S256" come valore.

Assicurati di codificare i parametri nell’URL.

Esempio di richiesta GET

https://{subdomain}.zendesk.com/oauth/authorizations/new?response_type=code&redirect_uri={your_redirect_url}&client_id={your_unique_identifier}&scope=read%20write

Nel browser dell’utente finale si apre la pagina di autorizzazione Zendesk. Dopo che l’utente ha preso una decisione, Zendesk la invia all’URL di reindirizzamento specificato nella richiesta.

L’applicazione deve gestire la risposta di Zendesk indicando la decisione dell’utente. Le informazioni sono contenute nei parametri URL dell’URL di reindirizzamento.

Se l’utente decide di concedere l’accesso all’applicazione, l’URL di reindirizzamento contiene un codice di autorizzazione. Esempio:

{redirect_url}?code=7xqwtlf3rrdj8uyeb1yf

Il codice di autorizzazione è valido solo per 120 secondi.

Se l’utente decide di non concedere l’accesso all’applicazione, l’URL di reindirizzamento contiene i parametri error e error_description che informano l’app che l’utente ha negato l’accesso:

{redirect_url}?error=access_denied&error_description=The+end-user+or+authorization+server+denied+the+request

Usa questi valori per controllare il flusso della tua applicazione. Se l’URL contiene un parametro code, ottieni un token di accesso da Zendesk come descritto nella sezione seguente. Si tratta del token da includere nelle chiamate API a Zendesk.

Se la tua applicazione ha ricevuto un codice di autorizzazione da Zendesk in seguito alla concessione dell’accesso da parte dell’utente, può scambiarlo con un token di accesso e un token di aggiornamento. Per ottenere i token, invia una richiesta POST all’endpoint Crea tipo di concessione token:

https://{subdomain}.zendesk.com/oauth/tokens

Includi nella richiesta i seguenti parametri obbligatori:

• grant_type: specifica "authorization_code" come valore.
• code: usa il codice di autorizzazione ricevuto da Zendesk dopo che l’utente ha concesso l’accesso.
• client_id: usa l’identificatore univoco specificato in un client OAuth nel Centro amministrativo Zendesk (App e integrazioni > API > Client OAuth). Consulta Registrazione della tua applicazione in Zendesk.
• client_secret: usa il segreto specificato in un client OAuth nel Centro amministrativo Zendesk (App e integrazioni > API > Client OAuth). Consulta Registrazione della tua applicazione in Zendesk.

  Se usi PKCE code_challenge e i parametri code_verifier, il valore client_secret non è obbligatorio. Puoi usare questa caratteristica per eseguire la migrazione dal flusso di concessione implicito, che non è più consigliato a causa di problemi di sicurezza. Consulta Uso di PKCE per la migrazione dal flusso di concessione implicito nella documentazione per sviluppatori.

• redirect_uri: lo stesso URL di reindirizzamento del passaggio 1. Solo per scopi di identificazione.
• scope: consulta Impostazione dell’ambito.
• code_verifier : obbligatorio se si usa PKCE. La stringa usata per generare il valore code_challenge. Consulta Generazione del valore code_challenge nella documentazione per sviluppatori.
• expires_in: numero di secondi di validità del token di accesso. Specifica un valore compreso tra 300 secondi (5 minuti) e 172.800 secondi (2 giorni).
• refresh_token_expires_in: numero di secondi di validità del token di aggiornamento. Specifica un valore compreso tra 604.800 secondi (7 giorni) e 7.776.000 secondi (90 giorni).

Per maggiori informazioni, consulta l’endpoint Crea tipo di concessione token nelle informazioni di riferimento sulle API.

La richiesta deve avvenire via https e le proprietà devono essere in formato JSON. Se usi un'applicazione personalizzata o di terzi per effettuare la richiesta API, consulta la relativa documentazione per sapere qual è il formato corretto per i valori delle proprietà.

Utilizzo della libreria di richieste Python

response = requests.post(
    f'https://{subdomain}.zendesk.com/oauth/tokens',
    data={
        'grant_type': 'authorization_code',
        'code': f'{your_code}',
        'client_id': f'{your_client_id}',
        'client_secret': f'{your_client_secret}',
        'redirect_uri': f'{your_redirect_url}',
        'scope': 'read',
        'expires in': 172800,
        'refresh_token_expires_in': 800000
    }
)

Esempio di risposta

Status: 201 OK

{
  "access_token": "gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo",
  "refresh_token": "31048ba4d7c601302f3173f243da835f",
  "token_type": "bearer",
  "scope":"read"
}

Salva token di accesso e token di aggiornamento in un datastore sicuro per riutilizzarli in un secondo momento.

L’app può usare il token di accesso per effettuare chiamate API. Includi il token in un’intestazione di autorizzazione HTTP con la richiesta, come segue:

Authorization: Bearer {a_valid_access_token}

Ad esempio, una richiesta curl per elencare i ticket apparirà come segue:

curl https://{subdomain}.zendesk.com/api/v2/tickets.json \
  -H "Authorization: Bearer gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo"

Per verificare se un token di accesso è scaduto, configura il tuo codice in modo da rilevare una risposta 401 dopo avere effettuato una richiesta API con il token. La risposta includerà la seguente stringa JSON:

{"error":"invalid_token","error_description":"The access token provided is expired, revoked, 
 malformed or invalid for other reasons."}

Se ricevi una risposta 401, chiama un gestore per aggiornare il token di accesso usando il token di aggiornamento che hai ricevuto con il token di accesso.

Ecco un esempio di utilizzo della libreria di richieste Python:

url = f'https://{your_subdomain}.zendesk.com/{endpoint}'
headers = {'Authorization': f'Bearer {access_token}'}
response = requests.get(url, headers=headers)
if response.status_code == 401:     # if token has expired or is otherwise invalid
    access_token = refresh_access_token(refresh_token)
    headers['Authorization'] = f'Bearer {access_token}'
    response = requests.get(url, headers=headers)

Per aggiornare un token di accesso, invia una richiesta POST all’endpoint Crea tipo di concessione token:

https://{subdomain}.zendesk.com/oauth/tokens

Includi le seguenti proprietà nel corpo della richiesta:

• grant_type: specifica la stringa "token di aggiornamento" come valore.
• refresh_token: specifica il valore del token di aggiornamento ricevuto con il token di accesso.
• client_id: usa l’identificatore specificato nel client OAuth nel Centro amministrativo Zendesk (App e integrazioni > API > Client OAuth). Consulta Registrazione della tua applicazione in Zendesk.
• client_secret: usa il segreto specificato nel client OAuth nel Centro amministrativo Zendesk (App e integrazioni > API > Client OAuth). Consulta Registrazione della tua applicazione in Zendesk.
• scope: consulta Impostazione dell’ambito.
• expires_in: numero di secondi di validità del token di accesso. Specifica un valore compreso tra 300 secondi (5 minuti) e 172.800 secondi (2 giorni).
• refresh_token_expires_in: numero di secondi di validità del token di aggiornamento. Specifica un valore compreso tra 604.800 secondi (7 giorni) e 7.776.000 secondi (90 giorni).

Per maggiori informazioni, consulta l’endpoint Crea tipo di concessione token nelle informazioni di riferimento sulle API.

Ecco un esempio di richiesta che usa la libreria di richieste Python:

response = requests.post(
    f'https://{your_subdomain}.zendesk.com/oauth/tokens',
    data={
        'grant_type': 'refresh_token',
        'refresh_token': refresh_token,
        'client_id': client_id,
        'client_secret': client_secret,
        'scope': 'read',
        'expires in': 172800,
        'refresh_token_expires_in': 800000
    }
)

La richiesta crea nuovi token di accesso e aggiornamento invalidando quelli precedenti. Ecco un esempio di risposta:

Status: 201 OK

{
  "access_token": "gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo",
  "refresh_token": "31048ba4d7c601302f3173f243da835f,
  "token_type": "bearer",
  "scope": "read"
}

Salva entrambi i token in un datastore sicuro per riutilizzarli in un secondo momento.