我正在使用express-stormpath包与我在Stormpath.com的帐户中创建的新应用程序一起使用。什么是授权Stormpath应用程序的正确方法?
我在我的应用程序中使用stormpath我必须提供应用程序HREF在stormpath admin的应用程序页面中提供,我还必须提供API密钥和秘密。
我一直在为我的一个管理员租户分配的帐户创建了一个新的API密钥/秘密,我注册了该帐户。
我使用该API密钥/秘密来授权我的express应用程序与Stormpath。
因此,在我的管理员帐户中,我有一长串API密钥,我不知道哪个密钥适用于哪个应用。
这是我应该怎么做的?
这只是感觉非常混乱。我看到普通应用程序用户可以获得API密钥/秘密,这些用途是什么?我可以为每个应用程序创建一个admin用户,并使用他们的API密钥和机密而不使其成为stormpath管理员?
这有道理吗?我尝试过直接向支持人发送电子邮件......但他们并没有真正了解这一点。 :/
首先,这是一个很好的问题,所以我不确定为什么你被拒绝投票。 API密钥可能是一个令人困惑的话题。在回答您的具体问题之前,我会尽力清除他们身上的谜团。
在Stormpath中,有两种类型的API密钥:租户API密钥和帐户API密钥。租户API密钥是您为了对Stormpath进行API调用所需要的。他们将您标识为Stormpath Tenant的管理员,并为您提供对您所有租户数据(换句话说,您存储在Stormpath中的任何和所有内容)的完整读/写访问权限。根据定义,管理员可以访问Stormpath API和管理控制台(即登录到Stormpath时看到的网页)。
还有帐户API密钥的概念。帐户是注册使用您的网络应用,移动应用或API服务的人员(或设备)。在Stormpath中,帐户存储在目录中,而目录又存储在应用程序中。 You can read all about this here。我喜欢将帐户API密钥视为更安全的用户名和密码版本。如果您构建自己的API服务并希望用户在开始向API发出请求之前进行身份验证,那么它们非常有用。
这就是它的全部。 API密钥对您进行身份验证 - 仅此而已,无所不及。有大量的文章讨论API密钥是否比其他方法更安全,因此您可以自由地检查这些密钥。但是在Stormpath,为了与我们的API进行沟通,您必须将自己标识为Stormpath Tenant管理员。当您构建自己的网络应用程序,移动应用程序或API服务时,您可以选择您希望您的用户如何与服务交互。
我希望这有助于解决问题。
如果您想为您的用户创建任何其他类型的角色/权限,您需要了解授权及其在Stormpath中的工作原理。我不会在这里详细说明,但是you can read all about it in our docs。
嗯,这清除了API密钥的用途,但天气或不是我使用的方法是最好的使用。 要在每个应用程序的单个租户上拥有API凭证列表,而不知道哪个应用程序感觉非常混乱。 – Nicekiwi
@Ezra Stormpath没有特定于应用程序的API密钥..我不确定你有什么想法。你有没有在某个帖子里看过它? – mdegges
无论如何,如果您向我发送您正在查看的页面截图(通过电子邮件)(或分享网页的网址),我可以解释发生了什么。这听起来像你创建了一堆Tenant API密钥。正如我所提到的,这些租户API密钥可以访问您的整个租户(包括所有应用程序,目录,帐户等)。要访问不同的应用程序,您只需更改您的STORMPATH_APPLICATION_HREF环境变量。 – mdegges