Каков правильный способ авторизации приложений Stormpath?

Question

Я использую пакет express-stormpath с новым приложением, которое я создал в своей учетной записи на Stormpath.com.

Я использую stormpath в своем приложении. Я должен предоставить приложение HREF, представленное на странице приложения в администраторе штурма, я также должен предоставить ключ API и секрет.

Я создаю новый ключ/секрет API для каждого приложения, которое я сделал на , один администратор, назначенный учетной записи, с которой я подписался.

И я использую этот ключ/секрет API для авторизации моего приложения express со Stormpath.

Итак, в моей учетной записи администратора у меня есть длинный список API-ключей, и я понятия не имею, какой ключ для какого приложения.

Это как я должен это делать?

Это просто чувствует себя очень грязно. Я вижу, что пользователям обычных приложений могут быть предоставлены ключи/секреты API, для чего они нужны? Могу ли я создать пользователей admin для каждого приложения и использовать их ключи и секреты API, не делая их администратором штурма?

Это имеет смысл? Я пробовал напрямую отправлять по электронной почте поддержку, но они ничего не понимали. :/

Answer 1

Прежде всего, это отличный вопрос, поэтому я не уверен, почему вы проголосовали. Ключи API могут быть запутанной темой. Я попытаюсь прояснить тайну вокруг них, прежде чем отвечать на ваши конкретные вопросы.

В Stormpath есть два типа ключей API: ключи API арендатора и ключи учетной записи. Ключи API-интерфейса Tenant - это то, что вам нужно, чтобы вызвать API-вызовы в Stormpath. Они идентифицируют вас как администратора вашего Stormpath Tenant и предоставляют вам полный доступ для чтения/записи ко всем вашим данным Tenant (другими словами, все, что вы храните в Stormpath). По определению администратор имеет доступ к API Stormpath и к консоли администратора (также известную на веб-странице, когда вы входите в Stormpath).

Существует также понятие ключей учетной записи аккаунта. Учетные записи - это люди (или устройства), которые подписываются на использование вашего веб-приложения, мобильного приложения или службы API. В Stormpath учетные записи хранятся в каталогах, которые, в свою очередь, хранятся в приложениях. You can read all about this here. Мне нравится думать о ключах API аккаунта как более безопасной версии имени пользователя и пароля. Они действительно полезны, если вы создаете свою собственную службу API и хотите, чтобы пользователи прошли аутентификацию, прежде чем они начнут делать запросы к вашему API.

Это действительно все, что нужно. API-ключи аутентифицируют вас - ничего больше, не меньше. Там много статей, в которых обсуждается, являются ли ключи API более безопасными, чем другие методы, поэтому вы можете их проверить. Но в Stormpath, чтобы общаться с нашим API, вы должны идентифицировать себя как администратора Stormpath Tenant. Когда вы создаете собственное веб-приложение, мобильное приложение или службу API, вы можете выбрать, как вы хотите вашим пользователям взаимодействовать с вашими услугами.

Я надеюсь, что это поможет разобраться.

Если вы хотите создать любой тип ролей/разрешений для своих пользователей, вам нужно узнать о разрешении и о том, как он работает в Stormpath. Я не буду подробно останавливаться на этом здесь, но you can read all about it in our docs.