有没有办法限定 API 密钥的范围,使其能够读取和写入数据资源管理器查询,而无需提供全局范围的管理 API 密钥?
数据探索器永远无法写入任何内容。
你可以创建一个查询,并允许无法访问插件的组成员运行特定的查询。
2 个赞
抱歉,也许写得不太好。查询本身可以通过API创建吗?
这是问题所在——读取和写入实际的查询本身,而不是在查询内。
哦。抱歉,我确实错过了。所以你想通过 API 创建查询,而不仅仅是运行它们。这是不同的。
我猜答案是否定的。
你遇到的问题是通过 API 编写查询能够解决的吗?你是否需要创建很多查询或其他什么?
1 个赞
您可以通过 API 创建它们,我的问题是我们是否可以以某种方式限制 API 密钥的范围。目前,API 密钥的范围可以限制为读取数据探索器查询,但它没有提供将范围限制为写入的选项。
因此,今天,如果我想让我的业务中的某个人能够向数据探索器写入查询,我必须给他们一个完整的全局管理员 API 密钥。
以下是有关通过 API 创建查询的文档:
啊。我明白了。你信任某个人能编写查询,但不能编写其他任何东西。我认为目前没有办法做到这一点。
1 个赞
听起来你所要求的,以及许多社区都会从中受益的想法,是一个类似data_explorer_allowed_groups的设置,它允许你除了管理员之外,还可以向更多群组提供对数据浏览器的完全访问权限。
据推测,如果该群组被允许访问,那么该用户的API密钥也可以用来创建查询以及访问它们。
目前,只能通过群组页面让人们访问现有的查询。
我已经把这个移到了#feature,这样就可以考虑这个功能请求了。不确定它是否会被采纳,但这至少把这个想法提出来了。
不这样做的原因是,它会给予这些人完全(尽管是只读的)访问数据库中所有内容的权限——包括密码、IP 地址(版主拥有)、SiteSettings 中的所有秘密,以及可能还有其他一些东西。另一方面,它是只读的,所以它与管理员的权限不完全相同。哦,还有,如果你发送登录链接,登录凭据也可以用来冒充别人。
2 个赞