استخدم مفاتيح واجهة برمجة التطبيقات المحددة النطاق

Discourse · 22 سبتمبر 2020، 9:29م

تسمح مفاتيح API بدمج Discourse مع أنظمة أخرى أو أتمتة إجراءات مختلفة. ومع ذلك، فإن القوة العظيمة تحمل مسؤولية عظيمة. فإذا تمكن طرف خبيث من الوصول إلى مفتاح API، فقد يتمكن من الوصول إلى بيانات حساسة أو إجراء تغييرات على موقعك. وللتخفيف من ذلك وإضافة طبقة أمان إضافية، يمكنك الآن تقييد ما يمكن لمفتاح API القيام به باستخدام النطاقات (Scopes).

النطاقات والمعلمات المسموح بها

عند إنشاء مفتاح API جديد، يمكنك اختيار النطاقات التي تريدها. وإذا مررت المؤشر فوق أيقونة ، فستظهر لك وصفًا موجزًا لما تفعله. أما زر فسيظهر لك عناوين URL المرتبطة بذلك النطاق.

اختياريًا، يمكنك أيضًا تحديد المعلمات المقبولة. استخدم الفواصل لفصل القيم المتعددة.

ترحيل المفاتيح الحالية

عند إضافة هذه الميزة، تحولت المفاتيح الحالية إلى مفاتيح “عالمية”. ولترحيلها إلى نطاقات، يتعين عليك إلغاؤها وإنشاء مفاتيح جديدة.

إضافة نطاقات مخصصة

يمكن للإضافات إضافة نطاقات مخصصة عن طريق استدعاء دالة add_api_key_scope:

github.com/discourse/discourse

lib/plugin/instance.rb

main


      
            reloadable_patch { Reviewable.add_custom_filter(filter) }
          end
          
          # Register a new API key scope.
          #
          # Example:
          # add_api_key_scope(:groups, { delete: { actions: %w[groups#add_members], params: %i[id] } })
          #
          # This scope lets you add members to a group. Additionally, you can specify which group ids are allowed.
          # The delete action is added to the groups resource.
          def add_api_key_scope(resource, action)
            DiscoursePluginRegistry.register_api_key_scope_mapping({ resource => action }, self)
          end
          
          # Register a new UserApiKey scope, and its allowed routes. Scope will be prefixed
          # with the (parameterized) plugin name followed by a colon.
          #
          # For example, if discourse-awesome-plugin registered this:
          #
          # add_user_api_key_scope(:read_my_route,
          #   methods: :get,

resource هو رمز يُستخدم لتجميع النطاقات ذات الصلة، بينما action هو كائن يحتوي على السمات التالية:

actions: قائمة تحتوي على إجراءات وحدة التحكم المسموح بها. الصيغة هي controller_name#method_name.
methods: قائمة بطرق HTTP المسموح بها (مثل %i[get]). استخدم هذا بدلاً من actions للمطابقة بناءً على طريقة HTTP بدلاً من إجراء وحدة التحكم.
params: قائمة تحتوي على أسماء المعلمات المسموح بها.
aliases: كائن يحتوي على اسم مختلف لوسيط مسموح به.

إذا أردت معرفة كيفية تعريف النطاقات الأساسية، راجع:

github.com/discourse/discourse

app/models/api_key_scope.rb

main


      
          
          class << self
            def list_actions
              actions = %w[list#category_feed list#category_default list#latest_feed]
          
              %i[latest unread new top].each { |f| actions.concat(["list#category_#{f}", "list##{f}"]) }
          
              actions
            end
          
            def default_mappings
              return @default_mappings unless @default_mappings.nil?
          
              mappings = {
                global: {
                  read: {
                    methods: %i[get],
                  },
                },
                topics: {
                  write: {

nickhingston · 23 سبتمبر 2020، 7:43ص

يبدو أنني أحصل على استجابة 403 عند محاولة جلب الفئات باستخدام مفتاح API للقراءة فقط

curl -X GET "https://mysite/categories.json" \
-H "Api-Key: mykey" \
-H "Api-Username: system"

حيث أن لدي أذونات للقراءة (read) و (read_list) للمواضيع في مفتاح API. على سبيل المثال، يعمل /top.json مع نفس المفتاح. يعمل الطرفية عند استخدام ‘مفتاح عالمي’ (Global Key)

أود وضع مفتاح API في عميلي لقراءة قائمة الفئات والمواضيع، لذا من المهم الحصول على مفتاح للقراءة فقط!

هل هناك أي توجيهات؟

nickhingston · 23 سبتمبر 2020، 10:03ص

من المثير للاهتمام أن الأمر يعمل إذا لم تُستخدم أي بيانات اعتماد على الإطلاق!

k
أي curl -X GET "https://mysite/categories.json"

Roman · 23 سبتمبر 2020، 2:32م

للأسف، ندرج فقط عددًا محدودًا من النطاقات افتراضيًا نظرًا للعدد الكبير من نقاط النهاية المتاحة. قد نضيف نطاقات جديدة في المستقبل، ولكن في الوقت الحالي، ستحتاج إلى توسيعها لتتناسب مع احتياجاتك.

إذا كنت تستخدم مفتاح API محددًا بنطاق، فلن تعمل استدعاءات نقاط النهاية غير المدرجة ضمن النطاقات التي اخترتها. يمكنك النقر على زر لمعرفة عناوين URL المقبولة.

هذا يعمل فقط للمواقع العامة. أيضًا، لن تتمكن من رؤية أشياء مثل الفئات الخاصة ما لم تكن مسجلًا في الدخول ولديك أذونات كافية.

Dannii · 26 سبتمبر 2020، 7:53ص

هل تقبلون مقترحات لنطاقات إضافية؟

أحد الأشياء التي أود استخدامها فيها واجهة برمجة تطبيقات موقعنا هو السماح لموقع آخر بالتحقق مما إذا كان مستخدم معين موجودًا عبر عنوان بريده الإلكتروني، ثم إضافته إلى مجموعة إذا كان موجودًا. أنا أثق في الموقع الآخر (موقع آخر تابع لمنظمتنا الأم)، ولكن يبدو من الحكمة تضييق خيارات الوصول لتشمل فقط ما هو ضروري إذا كان ذلك ممكنًا.

fzngagan · 26 سبتمبر 2020، 8:35ص

أنا سعيد جداً لأنهم فتحوا واجهة برمجة التطبيقات (API) للإضافات. يمكنك البدء بإضافة ما والتحقق مما إذا كان يمكن دمجها في النواة.

riking · 26 سبتمبر 2020، 10:17ص

أعتقد أن pr-welcome لأي نطاقات عامة مفيدة يمكنك التفكير فيها. على سبيل المثال group_membership.edit؟

الموضوع		الردود	مرات العرض
What scopes exactly does the Wordpress API key need? WordPress	13	1703	24 مايو 2022
Create and configure an API key Integrations how-to , rest-api	6	30932	10 مايو 2024
Get an API key's scopes and user level via the API Development rest-api	0	618	16 نوفمبر 2023
Get API Key only for adding/removing users from a group Development rest-api	1	479	23 سبتمبر 2022
Granular API support for creating users? Support rest-api	2	61	17 أكتوبر 2025

استخدم مفاتيح واجهة برمجة التطبيقات المحددة النطاق

النطاقات والمعلمات المسموح بها

ترحيل المفاتيح الحالية

إضافة نطاقات مخصصة

الموضوعات ذات الصلة