如何授权用户更新自己的用户数据

Question

根据https://fusionauth.io/docs/v1/tech/apis/users#update-a-user 提供的信息，似乎任何允许访问此端点的 API 密钥都可以更新任何用户记录。

我缺少一种基于 JWT 的针对此端点的授权方法，以便任何用户都可以更新他/她的用户记录。

处理此问题的推荐做法是什么？

Answer 1

FusionAuth 目前不允许您使用向您尝试更新的用户颁发的 JWT 调用更新用户 API。

这有几个原因。首先是并非所有实现都同意这是最终用户执行的安全操作。第二个是因为用户和注册对象的自定义数据会被 Elasticsearch 索引。 Elasticsearch 基于这些值创建一个动态模式，这意味着它希望模式不会改变。

出于这些原因，也许还有其他原因，让 FusionAuth 实现者编写的 API 来处理这个过程要安全得多。

也就是说，您需要调用更新用户 API，以便您可以控制更新的内容并对自定义数据执行任何必要的验证。