如何授权用户更新自己的用户数据
How to authorize user to update his own user data
根据 https://fusionauth.io/docs/v1/tech/apis/users#update-a-user 处提供的信息,似乎允许访问此端点的任何 API 密钥都可以更新任何用户记录。
我缺少基于此端点的 JWT 的授权方法,以便任何用户都可以更新 his/her 用户记录。
处理此问题的推荐做法是什么?
FusionAuth 目前不允许您调用更新用户 API 并向您尝试更新的用户发出 JWT。
这有几个原因。首先是并非所有实现都同意这是最终用户执行的安全操作。第二个是因为用户和注册对象的自定义数据将被 Elasticsearch 索引。 Elasticsearch 基于这些值创建一个动态模式,这意味着它期望模式不会改变。
出于这些原因,也许还有其他原因,允许由 FusionAuth 实现者编写的 API 来处理此过程要安全得多。
就是说,您需要在您这边调用更新用户 API,这样您就可以控制更新的内容并对自定义数据执行任何必要的验证。
根据 https://fusionauth.io/docs/v1/tech/apis/users#update-a-user 处提供的信息,似乎允许访问此端点的任何 API 密钥都可以更新任何用户记录。
我缺少基于此端点的 JWT 的授权方法,以便任何用户都可以更新 his/her 用户记录。
处理此问题的推荐做法是什么?
FusionAuth 目前不允许您调用更新用户 API 并向您尝试更新的用户发出 JWT。
这有几个原因。首先是并非所有实现都同意这是最终用户执行的安全操作。第二个是因为用户和注册对象的自定义数据将被 Elasticsearch 索引。 Elasticsearch 基于这些值创建一个动态模式,这意味着它期望模式不会改变。
出于这些原因,也许还有其他原因,允许由 FusionAuth 实现者编写的 API 来处理此过程要安全得多。
就是说,您需要在您这边调用更新用户 API,这样您就可以控制更新的内容并对自定义数据执行任何必要的验证。