我本来打算将此作为功能请求发布,但我想在这样做之前先确认一下它是否已存在。
Discourse 是否提供了一个可用于获取给定 API 密钥的作用域和用户级别的路由?目标是确认提供给外部应用程序的 API 密钥是否具有足够的权限,但又不过于宽泛。
编辑:经过一些研究,我所询问的是一个“密钥信息端点”。该端点通常允许客户端查询有关他们正在使用的 API 密钥的详细信息。这可能包括:
- 作用域
- 用户级别
- 有效性
- 使用情况统计
就 Discourse API 而言,有关作用域和用户级别的信息将非常有用。Discourse API 密钥没有过期日期,因此如果密钥可用于访问密钥信息端点,则可以假定它是有效的。
我怀疑这个主题应该重写为一个功能请求。我不知道 Discourse API 是否有类似“密钥信息端点”的东西。一个通用的用例是为一个构建连接到 Discourse API 的应用程序的服务。一个具体的例子是,如果 Discourse Zapier 集成扩展以添加更多操作钩子,那么它现在可能很有用。可以执行的操作类型将取决于提供给 Zapier 的 API 密钥的作用域。为了绕过这一点,现在会有人想要求用户提供一个全局 API 密钥。这违背了最小权限原则。