【发布时间】:2021-03-08 11:27:40
【问题描述】:
在部署的 Azure API 管理实例中,我启用了管理 API 和开发人员门户。
我可以登录到开发人员门户(作为开发人员,在 Azure 门户的开发人员门户刀片中添加到开发人员组的帐户,没有为用户分配其他权限),我可以提取我获得的 SAS 令牌,该门户在授权标头中使用该令牌和我可以使用此令牌通过 Management API 对 API Management 实例执行操作。
这是正确的吗?使用开发人员门户在幕后使用相同的 API,我了解分配给开发人员的 SAS 令牌可以进行一些操作,例如创建订阅、编辑 displayName 等(因为这一切都可以由开发人员从开发人员门户)。但是开发人员真的应该能够(例如)使用管理 API/他们的开发人员门户令牌将他们批准的订阅范围从一种产品/API 更改为另一种吗?通过这种方式,他们可以访问我在“已批准”订阅下未批准的产品/API,而之前的订阅意味着不同的授权产品/API。
我预计此类操作/功能仅对 Developer Portal 管理员组(或类似人员)中的用户可用。
这是正确的行为还是有一些我不知道的额外配置来限制“开发人员”的此类功能。我不希望开发人员通过操纵订阅来访问他们也没有被批准访问的产品/API。我还需要启用 Management API,所以禁用它不是一个选项(但出于好奇,我禁用了 Management API,我仍然可以使用与开发人员门户相同的 API 来编辑订阅)
【问题讨论】:
标签: azure subscription azure-api-management azure-management-api api-management