什么是正确的方式来授权Stormpath应用程序?
我正在使用express-stormpath软件包,并在Stormpath.com的帐户中创build了一个新的应用程序。
我在我的应用程序中使用stormpath我必须提供应用程序页面中提供的应用程序HREF在stormpathpipe理员,我也必须提供一个API密钥和秘密。
我已经为每个应用程序创build了一个新的API密钥/秘密,这些应用程序是我分配给该帐户的一个pipe理员租户所创build的,我注册了该帐户。
我使用该API密钥/秘密来授权我的express申请与Stormpath。
所以在我的pipe理帐户中,我有一个很长的API键列表,我不知道哪个键是哪个应用程序。
这是我应该怎么做?
这感觉很混乱。 我看到正常的应用程序用户可以被授予API密钥/秘密,这是什么? 我可以为每个应用程序创build一个admin用户,并使用他们的API密钥和秘密而不使他们成为stormpathpipe理员?
那有意义吗? 我已经尝试直接向支持人员发送电子邮件,但是他们并没有真正了解这一点。 :/
首先,这是一个很好的问题,所以我不确定你为什么被拒绝投票。 API密钥可能是一个令人困惑的话题。 在回答你的具体问题之前,我会尽力清除他们周围的秘密。
在Stormpath中,有两种types的API密钥:租户API密钥和帐户API密钥。 租户API密钥是您为了使Stormpath进行API调用所需要的。 他们将您标识为Stormpath Tenant的pipe理员,并为您提供对您所有租户数据(换句话说,您在Stormpath中存储的所有内容)的完整读写权限。 根据定义,pipe理员可以访问Stormpath API和pipe理控制台(即login到Stormpath时看到的网页)。
还有帐户API密钥的概念。 帐户是注册使用您的networking应用程序,移动应用程序或API服务的人员(或设备)。 在Stormpath中,帐户存储在目录中,而目录又存储在应用程序中。 你可以在这里阅读所有关于这个 。 我喜欢将帐户API密钥视为更安全的用户名和密码版本。 如果您构build自己的API服务并希望用户在开始向API发出请求之前进行身份validation,那么它们非常有用。
这就是它的全部。 API密钥对您进行身份validation – 仅此而已。 有大量的文章争论API密钥是否比其他方法更安全,所以你可以自由地检查出来。 但是在Stormpath中,为了与我们的API进行沟通,您必须将自己标识为Stormpath Tenantpipe理员。 在构build自己的Web应用程序,移动应用程序或API服务时,您可以select希望用户如何与您的服务进行交互。
我希望这有助于清理事情。
如果您想要为您的用户创build任何其他types的angular色/权限,则需要了解授权及其在Stormpath中的工作方式。 在这里我不会详细说明,但是您可以在我们的文档中阅读所有内容 。