我正在使用express-stormpath包和我在 Stormpath.com 帐户中创建的新应用程序。
我在应用程序中使用stormpath我必须提供应用程序HREF在 stormpath 管理员的应用程序页面中提供,我还必须提供 API 密钥和密钥。
我一直在为我在分配给该帐户的一个管理员租户(我注册的帐户)上创建的每个应用创建新的 API 密钥/机密。
我使用该 API 密钥/密钥向 Stormpath 授权我的express应用程序。
因此,在我的管理员帐户中,我有一长串API密钥,我不知道哪个密钥适用于哪个应用程序。
这就是我应该这样做的吗?
只是感觉很乱。我看到普通应用程序用户可以获得API密钥/机密,这些是干什么用的?我是否可以为每个应用程序创建admin用户并使用他们的 API 密钥和密钥,而无需让他们成为风暴路径管理员?
这有意义吗?我尝试直接通过电子邮件向支持人员发送电子邮件..但他们对此并不真正理解。:/
首先,这是一个很好的问题,所以我不确定你为什么被否决。API 密钥可能是一个令人困惑的话题。在回答您的具体问题之前,我会尝试澄清它们周围的谜团。
在 Stormpath 中,有两种类型的 API 密钥:租户 API 密钥和帐户 API 密钥。租户 API 密钥是您需要的,以便对 Stormpath 进行 API 调用。它们将您标识为 Stormpath 租户的管理员,并授予您对所有租户数据的完全读/写访问权限(换句话说,您存储在 Stormpath 中的任何内容)。根据定义,管理员可以访问风暴路径 API 和管理控制台(即您登录风暴路径时看到的网页)。
还有帐户 API 密钥的概念。帐户是注册使用您的 Web 应用、移动应用或 API 服务的人员(或设备)。在 Stormpath 中,帐户存储在目录中,而目录又存储在应用程序中。您可以在此处阅读有关此内容的所有内容。我喜欢将帐户 API 密钥视为用户名和密码的更安全版本。如果您正在构建自己的 API 服务并希望用户在开始向您的 API 发出请求之前进行身份验证,则它们非常有用。
这就是它的全部内容。API 密钥对您进行身份验证 - 仅此而已,仅此而已。有大量的文章在争论 API 密钥是否比其他方法更安全,因此您可以自由查看这些文章。但在风暴路径中,为了与我们的 API 通信,您必须将自己标识为风暴路径租户管理员。在构建自己的 Web 应用、移动应用或 API 服务时,您可以选择希望用户如何与您的服务交互。
我希望这有助于澄清问题。
如果要为用户创建任何其他类型的角色/权限,则需要了解授权及其在 Stormpath 中的工作方式。我不会在这里详细说明,但您可以在我们的文档中阅读所有相关信息。