有没有办法限定 API 密钥的范围,使其能够读取和写入数据资源管理器查询,而无需提供全局范围的管理 API 密钥?
数据探索器永远无法写入任何内容。
你可以创建一个查询,并允许无法访问插件的组成员运行特定的查询。
2 个赞
抱歉,也许写得不太好。查询本身可以通过API创建吗?
这是问题所在——读取和写入实际的查询本身,而不是在查询内。
哦。抱歉,我确实错过了。所以你想通过 API 创建查询,而不仅仅是运行它们。这是不同的。
我猜答案是否定的。
你遇到的问题是通过 API 编写查询能够解决的吗?你是否需要创建很多查询或其他什么?
1 个赞
您可以通过 API 创建它们,我的问题是我们是否可以以某种方式限制 API 密钥的范围。目前,API 密钥的范围可以限制为读取数据探索器查询,但它没有提供将范围限制为写入的选项。
因此,今天,如果我想让我的业务中的某个人能够向数据探索器写入查询,我必须给他们一个完整的全局管理员 API 密钥。
以下是有关通过 API 创建查询的文档:
啊。我明白了。你信任某个人能编写查询,但不能编写其他任何东西。我认为目前没有办法做到这一点。
1 个赞
在我看来,你提出的建议,以及似乎许多社区都能从中受益的想法,是增加一个类似 data_explorer_allowed_groups 的设置项,允许在管理员之外,将数据浏览器的完全访问权限授予更多用户组。
假设该组被允许访问,那么该用户的 API 密钥也应该能够用于创建查询和访问查询。
目前,只能通过用户的组页面让他们访问现有查询。
我已将此话题移至 Contribute > Feature 板块,以便对该功能请求进行评估。不确定它是否会被采纳,但至少让这一想法得以公开讨论。
不这样做的原因是,它会给予这些人完全(尽管是只读的)访问数据库中所有内容的权限——包括密码、IP 地址(版主拥有)、SiteSettings 中的所有秘密,以及可能还有其他一些东西。另一方面,它是只读的,所以它与管理员的权限不完全相同。哦,还有,如果你发送登录链接,登录凭据也可以用来冒充别人。
2 个赞