Existe uma maneira de escopo uma chave de API para poder ler e gravar para consultas do explorador de dados sem dar uma chave de API de administrador com escopo global?
O explorador de dados nunca pode escrever nada.
Você pode criar uma consulta e permitir que membros de um grupo, que de outra forma não teriam acesso ao plugin, executem consultas específicas.
Desculpe, talvez não foi escrito bem. As consultas em si não podem ser criadas via API?
Essa é a função em questão — ler e escrever as próprias consultas, não dentro de uma consulta.
Ah. Desculpe. Eu perdi essa parte. Então você quer criar consultas via API, não apenas executá-las. Isso é diferente.
Suspeito que a resposta seja não.
Qual problema você tem que fazer consultas via API vai resolver? Você precisa criar muitas ou algo assim?
Você pode criá-los via API, minha pergunta é se podemos limitar de alguma forma o escopo de uma chave de API para isso. Atualmente, o escopo de uma chave de API pode ser limitado à leitura de consultas do explorador de dados, mas não oferece uma opção para limitar o escopo à escrita.
Portanto, hoje, se eu quiser dar a alguém em minha empresa a capacidade de escrever consultas para o explorador de dados, terei que dar a eles uma chave de API de administrador global completa.
Aqui estão os documentos sobre como criar consultas via API:
Ah. Entendi. Você confia em um humano específico para escrever consultas, mas não em qualquer outra coisa. Acho que não há uma maneira de fazer isso atualmente.
Parece-me que o que você está pedindo, e que parece uma boa ideia da qual muitas comunidades se beneficiariam, é uma configuração como data_explorer_allowed_groups, que permite conceder acesso total ao Data Explorer a mais grupos, além dos administradores.
Presume-se então que, se o grupo tiver acesso permitido, a chave de API desse usuário funcionará tanto para criar consultas quanto para acessá-las.
Atualmente, só é possível permitir que as pessoas acessem consultas existentes, por meio da página do grupo.
Movi isso para Contribute > Feature para que a solicitação de recurso possa ser considerada. Não tenho certeza se será implementada, mas pelo menos a ideia fica registrada.
A razão para não fazer isso é que isso dá a essas pessoas acesso total (embora somente leitura) a tudo no banco de dados - senhas, endereços IP (que os moderadores têm), todos os segredos em SiteSettings e provavelmente outras coisas. Por outro lado, é somente leitura, então não é o MESMO que ser um administrador. Ah, também, os segredos necessários para fazer login como outra pessoa se você tiver um link de login enviado.