在部署的 Azure API 管理实例中,我启用了管理 API 和开发人员门户。
我可以登录开发者门户(作为开发者,在 Azure 门户的开发者门户刀片中添加到开发者组的帐户,没有分配给用户的其他权限),我可以提取门户中使用的授权标头和我可以使用此令牌通过管理 API 对 API 管理实例执行操作。
这是正确的吗?通过在幕后使用相同 API 的开发人员门户,我了解一些操作将可以通过分配给开发人员的 SAS 令牌实现,例如创建订阅、编辑显示名称等(因为开发人员可以从开发人员门户中完成这些操作) )。但是,开发人员是否真的能够(例如)使用管理 API/他们的开发人员门户令牌将他们批准的订阅范围从一种产品/API 更改为另一种产品/API?通过这种方式,他们可以访问我未在“已批准”订阅下批准的产品/API,而之前订阅是针对不同的授权产品/API。
我希望此类操作/功能仅对 Developer Portals 管理员组(或类似组)中的用户可用。
这是正确的行为还是有一些我不知道的额外配置来限制“开发人员”的此类功能。我不希望开发人员操纵订阅来访问他们还没有被批准访问的产品/API。我还需要启用管理 API,所以禁用它不是一个选项(但出于好奇我禁用了管理 API,我仍然可以使用与开发人员门户相同的 API 编辑订阅)
您实际上并不是在禁用 Management API 本身,您只是在禁用 integration 帐户。
发给用户的 SAS 令牌是特定于用户的,并且可以使用它执行的操作数量有限,主要与用户的资源相关。更改订阅范围不是其中之一。