根据https://fusionauth.io/docs/v1/tech/apis/users#update-a-user提供的信息,似乎任何允许访问此端点的 API 密钥都可以更新任何用户记录。
我缺少基于此端点的 JWT 的授权方法,以便任何用户都可以更新他/她的用户记录。
处理此问题的推荐做法是什么?
问问题
86 次
1 回答
1
FusionAuth 当前不允许您使用向您尝试更新的用户颁发的 JWT 调用更新用户 API。
这有几个原因。首先是并非所有实现都同意这是最终用户执行的安全操作。第二个是因为用户和注册对象的自定义数据会被 Elasticsearch 索引。Elasticsearch 基于这些值创建一个动态模式,这意味着它希望模式不会改变。
由于这些原因,也许还有其他原因,允许由 FusionAuth 实现者编写的 API 来处理这个过程要安全得多。
就是说,您将需要调用更新用户 API,以便您可以控制更新的内容并对自定义数据执行任何必要的验证。
于 2019-09-18T17:19:44.990 回答