一般ユーザーもAPIを利用できるようにする、管理者だけでなく

jidanni · 2023 年 2 月 10 日午前 2:14

Reverse engineer the Discourse API には次のように書かれています。

サイト上でできることは何でも JSON API を使って行うことができます。

一部のエンドポイントは認証を必要としませんが、それ以外はほとんどすべて認証が必要です。認証するには、管理パネルから API キーを作成する必要があります。

これは残念です。なぜなら、管理者だけでなく、一般ユーザーでも API を利用できる正当な使い道がたくさんあるからです。

ソースコードの変更が必要だと私は言っています。そうすれば、世界中のユーザーが利用しているローカル Discourse の API にアクセスして、個人データなどを取得できるようになるでしょう。

Alexander · 2023 年 2 月 10 日午前 2:27

(スコープに応じて認証されたリクエストを送信できます)

これらリソースを参照すると、非常に役立つかもしれません

jidanni · 2023 年 2 月 11 日午前 1:13

しかし、管理者からのサポートと、ユーザーAPIキーサイト設定で承認されたエンドポイントなしでは、「一般ユーザー」は独自のAPIキーを生成することはできません。

ClawdiaWolf · 2023 年 2 月 11 日午前 3:00

その応答は正しくありません。ユーザーの信頼レベルでユーザーAPIキーの生成が有効になっている場合、どのユーザーでもユーザーAPIキーを生成できます。リクエストペイロードにリダイレクトを設定しない場合、キーが含まれるBase64エンコードされた応答がブラウザに表示されます。

その方法を示すスクリプトについては、こちらのトピックを参照してください。

jidanni · 2023 年 2 月 12 日午前 1:55

AさんのDiscourseがデフォルト設定でインストールされており、BさんがAさんのDiscourseの単なる一般ユーザーで、Aさんが管理者設定を変更していない場合、BさんはAPIで多くのことを行うことができますか？

ClawdiaWolf · 2023 年 2 月 12 日午前 4:52

ユーザーAPIキーの生成はデフォルトで全ユーザーに対して有効になっており、WebインターフェースからできることはすべてAPI経由でも実行できます。これは、WebインターフェースがAPIのフロントエンドにすぎないためです。

私は個人的に、例外はいくつかありますが、アカウントを持つすべてのインスタンスの未読通知の実行合計を保持するChrome拡張機能でそれを使用しています。

blake · 2023 年 2 月 14 日午後 9:16

既存のDiscourseインスタンスにアカウントを持つユーザーは、ブラウザからの同じCookie認証を、ブラウザ以外のAPIリクエストでも使用できるはずです。

トピック		返信	表示
User API keys specification Integrations rest-api , reference	70	34228	2025 年 9 月 22 日
Create apikey for user programmatically as admin Dev rest-api	8	1862	2024 年 2 月 26 日
Can non-admin user issue their own API key? Dev rest-api	13	2584	2021 年 9 月 2 日
Generating User Api Keys with REST API Dev rest-api	20	8564	2018 年 4 月 8 日
"Api-Key" and "Api-Username" for try.discourse.org? Dev rest-api	12	1150	2025 年 2 月 4 日