استخدم مفاتيح واجهة برمجة التطبيقات المحددة النطاق

Discourse · 22 سبتمبر 2020، 9:29م

تسمح مفاتيح API بدمج Discourse مع أنظمة أخرى أو أتمتة إجراءات مختلفة. ومع ذلك، فإن القوة العظيمة تحمل مسؤولية عظيمة. فإذا تمكن طرف خبيث من الوصول إلى مفتاح API، فقد يتمكن من الوصول إلى بيانات حساسة أو إجراء تغييرات على موقعك. وللتخفيف من ذلك وإضافة طبقة أمان إضافية، يمكنك الآن تقييد ما يمكن لمفتاح API القيام به باستخدام النطاقات (Scopes).

النطاقات والمعلمات المسموح بها

عند إنشاء مفتاح API جديد، يمكنك اختيار النطاقات التي تريدها. وإذا مررت المؤشر فوق أيقونة ، فستظهر لك وصفًا موجزًا لما تفعله. أما زر فسيظهر لك عناوين URL المرتبطة بذلك النطاق.

اختياريًا، يمكنك أيضًا تحديد المعلمات المقبولة. استخدم الفواصل لفصل القيم المتعددة.

ترحيل المفاتيح الحالية

عند إضافة هذه الميزة، تحولت المفاتيح الحالية إلى مفاتيح “عالمية”. ولترحيلها إلى نطاقات، يتعين عليك إلغاؤها وإنشاء مفاتيح جديدة.

إضافة نطاقات مخصصة

يمكن للإضافات إضافة نطاقات مخصصة عن طريق استدعاء دالة add_api_key_scope:

github.com/discourse/discourse

lib/plugin/instance.rb

main


      
            reloadable_patch { Reviewable.add_custom_filter(filter) }
          end
          
          # Register a new API key scope.
          #
          # Example:
          # add_api_key_scope(:groups, { delete: { actions: %w[groups#add_members], params: %i[id] } })
          #
          # This scope lets you add members to a group. Additionally, you can specify which group ids are allowed.
          # The delete action is added to the groups resource.
          def add_api_key_scope(resource, action)
            DiscoursePluginRegistry.register_api_key_scope_mapping({ resource => action }, self)
          end
          
          # Register a new UserApiKey scope, and its allowed routes. Scope will be prefixed
          # with the (parameterized) plugin name followed by a colon.
          #
          # For example, if discourse-awesome-plugin registered this:
          #
          # add_user_api_key_scope(:read_my_route,
          #   methods: :get,

resource هو رمز يُستخدم لتجميع النطاقات ذات الصلة، بينما action هو كائن يحتوي على السمات التالية:

actions: قائمة تحتوي على إجراءات وحدة التحكم المسموح بها. الصيغة هي controller_name#method_name.
methods: قائمة بطرق HTTP المسموح بها (مثل %i[get]). استخدم هذا بدلاً من actions للمطابقة بناءً على طريقة HTTP بدلاً من إجراء وحدة التحكم.
params: قائمة تحتوي على أسماء المعلمات المسموح بها.
aliases: كائن يحتوي على اسم مختلف لوسيط مسموح به.

إذا أردت معرفة كيفية تعريف النطاقات الأساسية، راجع:

github.com/discourse/discourse

app/models/api_key_scope.rb

main


      
          
          class << self
            def list_actions
              actions = %w[list#category_feed list#category_default list#latest_feed]
          
              %i[latest unread new top].each { |f| actions.concat(["list#category_#{f}", "list##{f}"]) }
          
              actions
            end
          
            def default_mappings
              return @default_mappings unless @default_mappings.nil?
          
              mappings = {
                global: {
                  read: {
                    methods: %i[get],
                  },
                },
                topics: {
                  write: {

nickhingston · 23 سبتمبر 2020، 7:43ص

It seems I get 403 response for getting categories with a read only API key

curl -X GET "https://mysite/categories.json" \
-H "Api-Key: mykey" \
-H "Api-Username: system"

where I have read & read_list permissions on topics for the API key. /top.json works with the same key for instance. The endpoint works when I use a ‘Global Key’

I’d like to put the API key in my client for reading the list of categories and topics, so important to have a read only key!

Any pointers?

nickhingston · 23 سبتمبر 2020، 10:03ص

Interestingly it works if no credentials are used at all!

k
i.e. curl -X GET "https://mysite/categories.json"

Roman · 23 سبتمبر 2020، 2:32م

Unfortunately, we only include a handful of scopes out of the box due to the high number of available endpoints. We may add new ones in the future, but in the meantime, you’ll have to extend them to suit your needs.

If you use a scoped API Key, calling endpoints not included by the scopes you choose won’t work. You can click the button to see which URLs are accepted.

This only works for public sites. Also, you won’t see things like private categories unless you are logged in and have enough permissions.

Dannii · 26 سبتمبر 2020، 7:53ص

Are you taking suggestions for further scopes?

One thing I’d be interested in using our site’s API for would be for another site to check if a user exists with an email address and add to a group if so. I trust the site (another site within our parent organisation) but tightening down access options to only what’s needed seems wise if it were an option.

fzngagan · 26 سبتمبر 2020، 8:35ص

I’m super happy that they have opened up an api for plugins. You can start with a plugin and see if it can be incorporated in core.

riking · 26 سبتمبر 2020، 10:17ص

I believe that pr-welcome for any generally useful scopes you can come up with. E.g. group_membership.edit ?

الموضوع		الردود	مرات العرض
What scopes exactly does the Wordpress API key need? WordPress	13	1680	24 مايو 2022
Create and configure an API key Integrations how-to , rest-api	6	30692	10 مايو 2024
Get an API key's scopes and user level via the API Development rest-api	0	603	16 نوفمبر 2023
Get API Key only for adding/removing users from a group Development rest-api	1	465	23 سبتمبر 2022
Granular API support for creating users? Support rest-api	2	51	17 أكتوبر 2025

استخدم مفاتيح واجهة برمجة التطبيقات المحددة النطاق

النطاقات والمعلمات المسموح بها

ترحيل المفاتيح الحالية

إضافة نطاقات مخصصة

الموضوعات ذات الصلة