我的开发人员正在使用IntelliJ SonarLint插件连接到我们的SonarQube服务器并执行本地分析
为了连接到服务器,他们需要提供一个令牌,所以我想创建一个可以在所有开发人员之间共享的令牌。我希望这个令牌具有最小的权限,即只允许下载规则以允许本地分析工作。
如果我以 SonarQube 管理员身份生成令牌,这是否意味着该令牌比非管理员用户生成的令牌具有更多的权限?SonarQube文档意味着任何代币都能够执行SonarQube Web服务的完整列表。
您创建的令牌具有您的所有权限。既不可能通过使用令牌而不是用户名/密码来获得特权,也不能限制令牌的权限。在SonarQube中,令牌和用户名/密码非常相似 - 两者都告诉服务器你是谁以及你可以做什么。
在您的情况下,解决方案可能是:
- 创建一个新的技术用户,该用户的权限非常有限。使用只有您知道的密码
- 以该用户身份登录
- 创建一堆令牌,每个开发人员一个,开发人员的名称作为令牌名称
- 为每个开发人员提供自己的令牌
- 每当开发人员离开公司时,使他/她的令牌无效