如何限制令牌的权限?
How to limit the permissions of a token?
我的开发人员正在使用 IntelliJ SonarLint plugin 连接到我们的 SonarQube 服务器并执行本地分析
要连接到服务器,他们需要提供一个令牌,所以我想创建一个可以在所有开发人员之间共享的单一令牌。我希望此令牌具有最小权限,即仅允许下载规则以允许本地分析工作。
如果我以 SonarQube 管理员身份生成令牌,这是否意味着该令牌比非管理员用户生成的令牌具有更多权限? SonarQube documentation 意味着任何令牌都能够执行 SonarQube Web 服务的完整列表。
您创建的令牌拥有您的所有权限。既不可能通过使用令牌而不是 username/password 来获得特权,也不能限制令牌的特权。在 SonarQube 中,令牌和 username/password 非常相似 - 都告诉服务器你是谁以及你被允许做什么。
您的情况的解决方案可能是:
- 创建一个只有非常有限权限的新技术用户。使用只有您自己知道的密码
- 以该用户身份登录
- 创建一堆代币,每个开发者一个,以开发者的名字作为代币名称
- 给每个开发者his/her自己的代币
- 每当开发人员离开公司时,使his/her令牌失效
我的开发人员正在使用 IntelliJ SonarLint plugin 连接到我们的 SonarQube 服务器并执行本地分析
要连接到服务器,他们需要提供一个令牌,所以我想创建一个可以在所有开发人员之间共享的单一令牌。我希望此令牌具有最小权限,即仅允许下载规则以允许本地分析工作。
如果我以 SonarQube 管理员身份生成令牌,这是否意味着该令牌比非管理员用户生成的令牌具有更多权限? SonarQube documentation 意味着任何令牌都能够执行 SonarQube Web 服务的完整列表。
您创建的令牌拥有您的所有权限。既不可能通过使用令牌而不是 username/password 来获得特权,也不能限制令牌的特权。在 SonarQube 中,令牌和 username/password 非常相似 - 都告诉服务器你是谁以及你被允许做什么。
您的情况的解决方案可能是:
- 创建一个只有非常有限权限的新技术用户。使用只有您自己知道的密码
- 以该用户身份登录
- 创建一堆代币,每个开发者一个,以开发者的名字作为代币名称
- 给每个开发者his/her自己的代币
- 每当开发人员离开公司时,使his/her令牌失效