例如,如果需要,可以授予管理员或版主访问主题的功能,但例如禁用访问以查看社交登录的 API 密钥。
并且,例如,将版主角色授予论坛社区分支中受信任的人员,并施加限制……
1 个赞
你好 
如果我理解正确的话,您是在询问 Discourse 是否为版主提供权限。
如果是这种情况,这是不可能的。您要么是员工(管理员或版主),要么是分类版主,要么是 TL4 领导者。
请阅读这个主题
我认为分类版主或领导者在这里会很好。
任何有权写入主题的人都可以完全劫持用户的会话。如果你不信任某人这样做,那么你根本就不应该信任他们。如果你信任他们,你就可以直接让他们成为管理员。
1 个赞
这是一个示例,更清楚地说,我不想授予对 API 密钥的访问权限,而是授予对其他设置部分的访问权限。以防止管理员复制这些密钥并在将来某个第三方位置使用它们进行测试。
不一定是为了恶意目的,但这种情况确实令人担忧,例如,如果是 GitHub 密钥。管理员可能与存储库完全无关,但如果需要,他可以管理论坛。但我不想让他仅仅通过“复制它们,然后它们就会从他那里被盗”来意外泄露密钥。
或者因懒惰而错误地删除它们,不去获取自己的密钥。对于 Twitter 和 Google,情况则更加矛盾,因为这些密钥现在不再分发给所有声称“我想要访问权限”的人,即使是意外泄露密钥也可能导致 API 访问被禁用。
在后续版本中,如果需要,如何使用额外的密码来保护类似的解决方案页面?
我认为最好考虑所有可能的漏洞并加以预防,即使它们不太可能发生。
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.