【问题标题】:Azure API Management - Management API & Developer Portal SAS Token Access to Instance Data?Azure API 管理 - 管理 API 和开发人员门户 SAS 令牌访问实例数据?
【发布时间】:2021-03-08 11:27:40
【问题描述】:

在部署的 Azure API 管理实例中,我启用了管理 API 和开发人员门户。

我可以登录到开发人员门户(作为开发人员,在 Azure 门户的开发人员门户刀片中添加到开发人员组的帐户,没有为用户分配其他权限),我可以提取我获得的 SAS 令牌,该门户在授权标头中使用该令牌和我可以使用此令牌通过 Management API 对 API Management 实例执行操作。

这是正确的吗?使用开发人员门户在幕后使用相同的 API,我了解分配给开发人员的 SAS 令牌可以进行一些操作,例如创建订阅、编辑 displayName 等(因为这一切都可以由开发人员从开发人员门户)。但是开发人员真的应该能够(例如)使用管理 API/他们的开发人员门户令牌将他们批准的订阅范围从一种产品/API 更改为另一种吗?通过这种方式,他们可以访问我在“已批准”订阅下未批准的产品/API,而之前的订阅意味着不同的授权产品/API。

我预计此类操作/功能仅对 Developer Portal 管理员组(或类似人员)中的用户可用。

这是正确的行为还是有一些我不知道的额外配置来限制“开发人员”的此类功能。我不希望开发人员通过操纵订阅来访问他们也没有被批准访问的产品/API。我还需要启用 Management API,所以禁用它不是一个选项(但出于好奇,我禁用了 Management API,我仍然可以使用与开发人员门户相同的 API 来编辑订阅)

【问题讨论】:

    标签: azure subscription azure-api-management azure-management-api api-management


    【解决方案1】:

    您实际上并没有禁用 Management API 本身,您只是在禁用 integration 帐户。

    发给用户的 SAS 令牌是特定于用户的,可以使用它执行的操作数量有限,主要与用户的资源有关。改变订阅范围不是其中之一。

    【讨论】:

      猜你喜欢
      • 2019-03-23
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多