DocuSign JWT/签名安全

Question

我正在编写一个 Python/Django 与 DocuSign 的集成，用户将从另一个应用程序发送到 DocuSign 以签署文档，然后被发送回初始应用程序。这些用户没有 DocuSign 帐户。

我目前正在使用“request_jwt_user_token”和我们的服务帐户一起生成信封、附加文档并创建收件人视图。最后，这会返回一个 url，如下所示：

https://demo.docusign.net/Signing/MTRedeem/v1/[random_string]?slt=[random_long_string]

我很确定第一个随机字符串是标识符，而后者是访问令牌？

我想了解的是将此信息传递给任意用户的安全性。我保持较低的 jwt 到期时间并将 jwt 范围设置为 ["signature", "impersonation"]。但是 slt 令牌是否可以用于访问其他信封或进行其他签名 api 调用？由于范围的原因，我认为它不能用于签名以外的任何事情。

Answer 1

您在此处发布的 URL 与 JWT 无关。它是一个嵌入式签名 URL，您可以重定向您的用户以完成签名。然后可以在完成后将它们重定向回您的应用程序。

此 URL 将在 5 分钟（或 2 分钟）后过期，因此非常安全。它也是一个只能由一个用户使用的 URL（您设置为签署信封并使用 clientUserId 生成的用户）

访问令牌可用于访问其他信封等，但该访问令牌不在此 URL 中，永远不应共享等。