Artifactory REST API 身份验证类型使用
Artifactory REST API authentication types usage
Artifactory REST API 提供不同类型的身份验证,如 Basic (Username/Password) / API Key /访问令牌。我的问题是,当客户端调用 Artifactory REST APIs 时,这些身份验证类型 机制之间的基本区别是什么。在哪些场景中使用了这些不同的 Artifactory REST API 身份验证类型?
基本身份验证 - 这是三种方法中最不安全的方法,因为它强制用户保留凭据,有时以明文格式(您应该使用 encrypted passwords 来避免这种情况)。支持它的主要原因是不支持任何其他身份验证方式的工具。由于 Artifactory 支持许多不同的包类型和各种客户端,它必须支持一些仍然使用基本身份验证的技术。
API Key - API keys 提供了对基本身份验证的改进,因为它们可以在受到威胁时被撤销。但是,它们没有过期机制。 API 密钥的另一个限制是它们附加到用户,这使得它们对自动化的吸引力降低。另一个限制是它们并非设计为在多个 Artifactory 实例之间共享。
访问令牌 - Access tokens 提供许多优点:不绑定到用户并且可以服务 CI 工作,例如,提供基于时间的访问控制,可以撤销,范围,可以在多个 Artifactory 实例之间共享。
Artifactory REST API 提供不同类型的身份验证,如 Basic (Username/Password) / API Key /访问令牌。我的问题是,当客户端调用 Artifactory REST APIs 时,这些身份验证类型 机制之间的基本区别是什么。在哪些场景中使用了这些不同的 Artifactory REST API 身份验证类型?
基本身份验证 - 这是三种方法中最不安全的方法,因为它强制用户保留凭据,有时以明文格式(您应该使用 encrypted passwords 来避免这种情况)。支持它的主要原因是不支持任何其他身份验证方式的工具。由于 Artifactory 支持许多不同的包类型和各种客户端,它必须支持一些仍然使用基本身份验证的技术。
API Key - API keys 提供了对基本身份验证的改进,因为它们可以在受到威胁时被撤销。但是,它们没有过期机制。 API 密钥的另一个限制是它们附加到用户,这使得它们对自动化的吸引力降低。另一个限制是它们并非设计为在多个 Artifactory 实例之间共享。
访问令牌 - Access tokens 提供许多优点:不绑定到用户并且可以服务 CI 工作,例如,提供基于时间的访问控制,可以撤销,范围,可以在多个 Artifactory 实例之间共享。