#node.js #docusignapi #digital-signature #docusignconnect
Вопрос:
API электронной подписи Docusign имеет ограничение на опрос 15 минут за 15 минут для запроса уникальных URL-ресурсов.
Однако в документации не объясняется , разрешено ли нормальное поведение пользователя, которое полностью отличается от опроса X за X минут (например, щелчок для просмотра конверта несколько раз подряд).
Вопрос 1
Есть ли проблема в Docusign, если один и тот же ресурс вызывается несколько раз в течение 15 минут при обычных действиях пользователя?
Могут быть сценарии, в которых ресурс необходимо извлекать гораздо чаще в течение 2-3 минут, но почти 0 в течение оставшейся части дня для этого ресурса).
Распространенными примерами могут быть: запрос информации о конверте, связанных объектах и событиях аудита в течение короткого промежутка времени.
Вопрос 2
Все ли URL-адреса уникальных ресурсов имеют ограничения на 15 минут в eSignaturesAPI (конверты, получатели, события, статус, шаблоны и т. Д.)?
В некоторых документах указано, что только конечные точки, связанные со статусом, ограничены для опроса, в других документах указано, что все ресурсы GET в eSignaturesAPI ограничены.
Вопрос 3
Одной из альтернатив для опроса является использование Docusign Webhooks (Connect), как предлагается во многих статьях, однако защитить его с помощью HMAC невозможно в сочетании с OAuth.
Ключи подключения связаны с учетной записью пользователя, а не с учетной записью приложения клиента (каждому пользователю придется настраивать свои собственные ключи, что невозможно). Одним из предложений, по-видимому, является mTLS (который не будет вариантом).
Какие еще существуют способы защиты веб-крючков при использовании OAuth?
Интересно, как другие интеграции справились с текущими ограничениями безопасности webhook.
Ответ №1:
Причина, по которой DocuSign заботится об опросе, заключается в том, что разработчики создали интеграции, которые опрашивают каждые 1 секунду, что приводит к миллионам вызовов API, которые засоряют серверы.
Похоже, что ваша интеграция не выполняет опрос.
Тогда все, что вам нужно сделать, это пройти go-live, и все будет в порядке.
Последние 20 вызовов API для вашего обзора в режиме реального времени должны соответствовать правилам опроса, убедитесь, что это так. У DocuSign нет возможности узнать о намерениях вызовов API, поэтому правила опроса являются строгими, но вам не должно быть трудно их понять.
Комментарии:
1. Спасибо за быстрый ответ. Таким образом, все неавтоматизированные (опрос X в X сек/мин) запросы к конечным точкам eSignatures ( developers.docusign.com/docs/esign-rest-api/reference/envelopes разрешены) ограничены только лимитом почасовой/пакетной скорости (и не ограничены выполнением 2 звонков в течение 15 минут) . В настоящее время в программе ISV, но возникли проблемы с тем, чтобы связаться с кем-то из Docusign, чтобы прояснить сомнения. Вы готовы к 15-минутному звонку?
2. ты пробовал partners@docusign.com ? Я не уверен, что есть необходимость в звонке, но я не тот человек, который подходит для программы ISV.
3. К сожалению, мы не можем получить никакой поддержки от Docusign (партнеров), и в некоторых областях мы заблокированы.