Usa le chiavi API con ambito limitato

Discourse · 22 Settembre 2020, 9:29pm

Le chiavi API ci consentono di integrare Discourse con altri sistemi o automatizzare diverse azioni. Tuttavia, un grande potere comporta una grande responsabilità. Se un attore malevolo ha accesso a una chiave API, potrebbe accedere a dati sensibili o apportare modifiche al tuo sito. Per mitigare questo rischio e aggiungere un ulteriore livello di sicurezza, ora puoi limitare le azioni consentite a una chiave API utilizzando gli scope.

Scope e parametri consentiti

Quando crei una nuova chiave API, puoi selezionare gli scope desiderati. Se passi il mouse sull’icona , vedrai una breve descrizione delle sue funzioni. Il pulsante ti mostrerà gli URL associati a quello scope.

Facoltativamente, puoi anche specificare quali parametri sono accettati. Utilizza le virgole per separare più valori.

Migrazione delle chiavi esistenti

Quando abbiamo aggiunto questa funzionalità, le chiavi esistenti sono diventate chiavi “globali”. Per migrarle agli scope, dovrai revocarle e crearne di nuove.

Aggiunta di scope personalizzati

I plugin possono aggiungere scope personalizzati chiamando il metodo add_api_key_scope:

github.com/discourse/discourse

lib/plugin/instance.rb

main


      
            reloadable_patch { Reviewable.add_custom_filter(filter) }
          end
          
          # Register a new API key scope.
          #
          # Example:
          # add_api_key_scope(:groups, { delete: { actions: %w[groups#add_members], params: %i[id] } })
          #
          # This scope lets you add members to a group. Additionally, you can specify which group ids are allowed.
          # The delete action is added to the groups resource.
          def add_api_key_scope(resource, action)
            DiscoursePluginRegistry.register_api_key_scope_mapping({ resource => action }, self)
          end
          
          # Register a new UserApiKey scope, and its allowed routes. Scope will be prefixed
          # with the (parameterized) plugin name followed by a colon.
          #
          # For example, if discourse-awesome-plugin registered this:
          #
          # add_user_api_key_scope(:read_my_route,
          #   methods: :get,

resource è un simbolo utilizzato per raggruppare scope correlati, mentre action è un hash con i seguenti attributi:

actions: Un elenco contenente le azioni del controller consentite. Il formato è controller_name#method_name.
methods: Un elenco di metodi HTTP da consentire (ad esempio %i[get]). Utilizzalo al posto di actions per abbinare in base al metodo HTTP piuttosto che all’azione del controller.
params: Un elenco contenente i nomi dei parametri consentiti.
aliases: Un hash contenente un nome diverso per un parametro consentito.

Se vuoi sapere come sono definiti gli scope di base, consulta:

github.com/discourse/discourse

app/models/api_key_scope.rb

main


      
          
          class << self
            def list_actions
              actions = %w[list#category_feed list#category_default list#latest_feed]
          
              %i[latest unread new top].each { |f| actions.concat(["list#category_#{f}", "list##{f}"]) }
          
              actions
            end
          
            def default_mappings
              return @default_mappings unless @default_mappings.nil?
          
              mappings = {
                global: {
                  read: {
                    methods: %i[get],
                  },
                },
                topics: {
                  write: {

nickhingston · 23 Settembre 2020, 7:43am

It seems I get 403 response for getting categories with a read only API key

curl -X GET "https://mysite/categories.json" \
-H "Api-Key: mykey" \
-H "Api-Username: system"

where I have read & read_list permissions on topics for the API key. /top.json works with the same key for instance. The endpoint works when I use a ‘Global Key’

I’d like to put the API key in my client for reading the list of categories and topics, so important to have a read only key!

Any pointers?

nickhingston · 23 Settembre 2020, 10:03am

Interestingly it works if no credentials are used at all!

k
i.e. curl -X GET "https://mysite/categories.json"

Roman · 23 Settembre 2020, 2:32pm

Unfortunately, we only include a handful of scopes out of the box due to the high number of available endpoints. We may add new ones in the future, but in the meantime, you’ll have to extend them to suit your needs.

If you use a scoped API Key, calling endpoints not included by the scopes you choose won’t work. You can click the button to see which URLs are accepted.

This only works for public sites. Also, you won’t see things like private categories unless you are logged in and have enough permissions.

Dannii · 26 Settembre 2020, 7:53am

Are you taking suggestions for further scopes?

One thing I’d be interested in using our site’s API for would be for another site to check if a user exists with an email address and add to a group if so. I trust the site (another site within our parent organisation) but tightening down access options to only what’s needed seems wise if it were an option.

fzngagan · 26 Settembre 2020, 8:35am

I’m super happy that they have opened up an api for plugins. You can start with a plugin and see if it can be incorporated in core.

riking · 26 Settembre 2020, 10:17am

I believe that pr-welcome for any generally useful scopes you can come up with. E.g. group_membership.edit ?

Argomento		Risposte	Visualizzazioni
What scopes exactly does the Wordpress API key need? WordPress	13	1678	Maggio 24, 2022
Create and configure an API key Integrations how-to , rest-api	6	30675	Maggio 10, 2024
Get an API key's scopes and user level via the API Dev rest-api	0	601	Novembre 16, 2023
Get API Key only for adding/removing users from a group Dev rest-api	1	465	Settembre 23, 2022
Granular API support for creating users? Support rest-api	2	51	Ottobre 17, 2025

Usa le chiavi API con ambito limitato

Scope e parametri consentiti

Migrazione delle chiavi esistenti

Aggiunta di scope personalizzati

Argomenti correlati