استخدم مفاتيح واجهة برمجة التطبيقات المحددة النطاق

توثيق التكاملات
,
1

تسمح مفاتيح API بدمج Discourse مع أنظمة أخرى أو أتمتة إجراءات مختلفة. ومع ذلك، فإن القوة العظيمة تحمل مسؤولية عظيمة. فإذا تمكن طرف خبيث من الوصول إلى مفتاح API، فقد يتمكن من الوصول إلى بيانات حساسة أو إجراء تغييرات على موقعك. وللتخفيف من ذلك وإضافة طبقة أمان إضافية، يمكنك الآن تقييد ما يمكن لمفتاح API القيام به باستخدام النطاقات (Scopes).

النطاقات والمعلمات المسموح بها

عند إنشاء مفتاح API جديد، يمكنك اختيار النطاقات التي تريدها. وإذا مررت المؤشر فوق أيقونة :grey_question:، فستظهر لك وصفًا موجزًا لما تفعله. أما زر :link: فسيظهر لك عناوين URL المرتبطة بذلك النطاق.

اختياريًا، يمكنك أيضًا تحديد المعلمات المقبولة. استخدم الفواصل لفصل القيم المتعددة.

ترحيل المفاتيح الحالية

عند إضافة هذه الميزة، تحولت المفاتيح الحالية إلى مفاتيح “عالمية”. ولترحيلها إلى نطاقات، يتعين عليك إلغاؤها وإنشاء مفاتيح جديدة.

إضافة نطاقات مخصصة

يمكن للإضافات إضافة نطاقات مخصصة عن طريق استدعاء دالة add_api_key_scope:

resource هو رمز يُستخدم لتجميع النطاقات ذات الصلة، بينما action هو كائن يحتوي على السمات التالية:

  • actions: قائمة تحتوي على إجراءات وحدة التحكم المسموح بها. الصيغة هي controller_name#method_name.
  • methods: قائمة بطرق HTTP المسموح بها (مثل %i[get]). استخدم هذا بدلاً من actions للمطابقة بناءً على طريقة HTTP بدلاً من إجراء وحدة التحكم.
  • params: قائمة تحتوي على أسماء المعلمات المسموح بها.
  • aliases: كائن يحتوي على اسم مختلف لوسيط مسموح به.

إذا أردت معرفة كيفية تعريف النطاقات الأساسية، راجع:

24 إعجابًا
Request to Verify Admin Rights for Discourse API Key
Simple sensor-driven notifications in Discourse via Webhooks or MQTT?
3

It seems I get 403 response for getting categories with a read only API key

curl -X GET "https://mysite/categories.json" \
-H "Api-Key: mykey" \
-H "Api-Username: system"

where I have read & read_list permissions on topics for the API key. /top.json works with the same key for instance. The endpoint works when I use a ‘Global Key’

I’d like to put the API key in my client for reading the list of categories and topics, so important to have a read only key!

Any pointers?

إعجاب واحد (1)
4

Interestingly it works if no credentials are used at all!

k
i.e. curl -X GET "https://mysite/categories.json"

إعجاب واحد (1)
5

Unfortunately, we only include a handful of scopes out of the box due to the high number of available endpoints. We may add new ones in the future, but in the meantime, you’ll have to extend them to suit your needs.

If you use a scoped API Key, calling endpoints not included by the scopes you choose won’t work. You can click the :link: button to see which URLs are accepted.

This only works for public sites. Also, you won’t see things like private categories unless you are logged in and have enough permissions.

6 إعجابات
6

هل تقبلون مقترحات لنطاقات إضافية؟

أحد الأشياء التي أود استخدامها فيها واجهة برمجة تطبيقات موقعنا هو السماح لموقع آخر بالتحقق مما إذا كان مستخدم معين موجودًا عبر عنوان بريده الإلكتروني، ثم إضافته إلى مجموعة إذا كان موجودًا. أنا أثق في الموقع الآخر (موقع آخر تابع لمنظمتنا الأم)، ولكن يبدو من الحكمة تضييق خيارات الوصول لتشمل فقط ما هو ضروري إذا كان ذلك ممكنًا.

إعجاب واحد (1)
7

أنا سعيد جداً لأنهم فتحوا واجهة برمجة التطبيقات (API) للإضافات. يمكنك البدء بإضافة ما والتحقق مما إذا كان يمكن دمجها في النواة.

إعجابَين (2)
8

أعتقد أن pr-welcome لأي نطاقات عامة مفيدة يمكنك التفكير فيها. على سبيل المثال group_membership.edit؟

5 إعجابات