使用 OAUTH 的只读 JIRA REST Api 访问答案

【问题标题】：Read Only JIRA REST Api Access with OAUTH使用 OAUTH 的只读 JIRA REST Api 访问
【发布时间】：2014-02-12 14:20:58
【问题描述】：

假设我正在操作 JIRA 安装并希望通过 oauth 身份验证提供 REST API 访问。是否可以将该访问设为只读？使用 REST API，可以创建问题和其他数据，但我想阻止插入数据的能力。

我相信可以通过基本身份验证实现只读 REST 访问，因为 REST 实现将尊重分配给其凭据正在与 API 一起使用的用户的权限，但我想使用我理解的 oath成为推荐的身份验证方法，因为我认为它更安全。

【问题讨论】：

【解决方案1】：

抱歉，我不确定是否了解所有内容：
oauth 和 basic auth 的工作方式相同：连接的用户具有与 JIRA 界面中相同的凭据。
所以你无事可做。
很快：basic 和 oauth 的区别是：

基本：您的客户端应用程序应发送用户登录名和密码。所以你的客户端应用应该记住密码。
在 oauth 中：JIRA 信任您的客户端应用程序（使用 SSL 证书）。当您的应用程序正在连接时，它会显示“用户 lambda 正在连接”，而无需发送密码。

希望对你有帮助

更正：
抱歉，我对“受信任的应用程序链接”有点混淆
所以我更正了我的答案：
您在文档中有：

授权此令牌
转到系统中的 URL 并登录 JIRA 并批准访问。之后 JIRA 会说你已成功授权访问。它提到了一个验证我们下一步需要的代码。

因此，用户应在 jira 中登录自己，以便接受您的令牌，并且用户登录已绑定

【讨论】：

好吧，我显然很困惑。我没有看到特定的 JIRA 用户帐户与为授予 REST API 访问权限而创建的应用程序链接连接的位置。我正在使用以下说明：developer.atlassian.com/display/JIRADEV/… JIRA 管理员创建了一个应用程序链接，该链接对应于将连接和使用 REST API 的客户端。 JIRA 和客户做他们的小舞，客户得到一个可以使用的访问令牌。我看不到 JIRA 用户或用户权限在哪里输入。
对不起，我有点困惑，我更正我的答案：
您在文档中有：
2.授权此令牌
转到系统中的URL退出并登录 JIRA 并批准访问。之后 JIRA 会说您已成功授权访问。它提到了我们下一步需要的验证码。
所以，用户应该在jira中登录自己
对不起，我对“受信任的应用程序链接”有点混淆
是的，我相信我明白这一切。但是，JIRA 提供给 Application Link 的授权同时授予读取和写入访问权限。我希望访问是只读的。只有在提供 JIRA 用户凭据且该 JIRA 用户可能没有写入权限的基本身份验证中，才会出现只读访问权限。看来，使用 oauth 身份验证，将始终存在读写访问权限。
我很惊讶，您确定您用于接受令牌的用户登录名具有只读凭据吗？
否则提交给 Atlassian 将是一个严重的安全问题
啊，我想我可能明白我在哪里困惑了。我认为这一切都需要使用管理员帐户来完成。我会多做一些实验。