我正在将 express-stormpath 包与我在 Stormpath.com 帐户中创建的新应用程序一起使用。
我在我的应用程序中使用 stormpath 我必须提供在stormpath管理中的应用程序页面中提供的应用程序HREF,我还必须提供API key 和 secret 。
我一直在为我在分配给该帐户的一个管理员租户(即我注册的帐户)上创建的每个应用程序创建一个新的 API key /密码。
我使用该 API key / secret 来通过 Stormpath 授权我的 express 应用程序。
因此,在我的管理员帐户中,我有一长串 API key ,但我不知道哪个 key 适用于哪个应用程序。
这是我应该做的吗?
感觉很乱。我看到普通应用程序用户可以获得 API key / secret ,这些有什么用?我可以为每个应用创建一个 admin 用户并使用他们的 API key 和 secret ,而不让他们成为 Stormpath 管理员吗?
这有道理吗?我试过直接给支持人员发电子邮件..但他们并不真正理解这些。 :/
最佳答案
首先,这是一个很好的问题,所以我不确定为什么你会被否决。 API key 可能是一个令人困惑的话题。在回答你的具体问题之前,我会尽力解开围绕它们的谜团。
在 Stormpath 中,有两种类型的 API key :租户 API key 和帐户 API key 。租户 API key 是您对 Stormpath 进行 API 调用所需要的。它们将您识别为 Stormpath 租户的管理员,并为您提供对所有租户数据(换句话说,您存储在 Stormpath 中的任何内容)的完全读/写访问权限。根据定义,管理员有权访问 Stormpath API 和管理控制台(也称为您登录 Stormpath 时看到的网页)。
还有帐户 API key 的概念。帐户是注册使用您的 Web 应用程序、移动应用程序或 API 服务的人员(或设备)。在 Stormpath 中,帐户存储在目录中,目录又存储在应用程序中。 You can read all about this here 。我喜欢将帐户 API key 视为用户名和密码的更安全版本。如果您正在构建自己的 API 服务并希望用户在开始向您的 API 发出请求之前进行身份验证,那么它们非常有用。
这就是全部内容了。 API key 对您进行身份验证——仅此而已。有大量文章讨论 API key 是否比其他方法更安全,因此您可以随意查看这些文章。但在 Stormpath 中,为了与我们的 API 进行通信,您必须将自己标识为 Stormpath 租户管理员。当您构建自己的网络应用程序、移动应用程序或 API 服务时,您可以选择您希望您的用户与您的服务交互的方式。
我希望这有助于澄清问题。
如果您想为用户创建任何其他类型的角色/权限,您需要了解授权及其在 Stormpath 中的工作原理。我不会在这里详细说明,但是 you can read all about it in our docs 。
关于node.js - 授权 Stormpath 应用程序的正确方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38385813/