有没有办法请求特定于存储桶的读取范围？

Question

我正在尝试找到一种方法来限制对我的应用程序中每个存储桶的访问。目标是防止用户从“分配”给他们的存储桶以外的其他存储桶访问对象。

简而言之，该应用为每个用户分配一个存储桶来存储对象，我想防止用户访问他们不打算访问的存储桶。

我猜一个请求可能是这样的：

curl -v 'https://developer.api.autodesk.com/authentication/v1/authenticate'
  -X 'POST'
  -H 'Content-Type: application/x-www-form-urlencoded'
  -d '
    client_id=obQDn8P0GanGFQha4ngKKVWcxwyvFAGE&
    client_secret=eUruM8HRyc7BAQ1e&
    grant_type=client_credentials&
    scope=data:read&
    # I'm thinking for some parameter like this
    bucket=CLIEN_SPECIFIC_BUCKET_ID
  '

Answer 1

您应该实施自己的应用管理层来管理用户对不同存储桶的权限 - 根据最佳实践，用户不应接触应用级访问令牌来访问存储桶本身。

为 Forge 应用而不是最终用户打造云存储桶，因为它是一个开发平台，在开发人员/应用程序级别而不是最终用户级别上运行。

编辑：

对于 Viewer，您可以使用 AOP 方法并在后端设置代理并将身份验证委托给代理 - 您可以重定向 Viewer 以将请求发送到您的端点以检索资源，而您的后端可以依次进行身份验证和检索来自 Forge 服务的资源，这样您就不必向用户公开访问令牌。试试：

Autodesk.Viewing.endpoint.setEndpointAndApi('https://yourhostname/your/proxy/service/path')

您可以将自定义标头添加到查看器的请求中，以针对您自己的应用进行身份验证：

Autodesk.Viewing.endpoint.HTTP_REQUEST_HEADERS = {}

或者，您可以将衍生产品下载到您自己的存储中并从那里加载它们 - 有关详细信息，请参阅 here。