用户

身份验证

我们的单页应用使用会话 Cookies 进行 API 的身份验证。外部程序可使用 API 密钥或访问令牌的无状态身份验证。

GET 端点无需身份验证即可使用，但此时只会返回游客可见的内容。为防止 CSRF 攻击，其他端点均需身份验证方可使用。

API 密钥

脚本、工具与集成应用和 ArkFlarum 的交互应当采用 API 秘钥作为首选方案。

创建

目前没有用于管理 API 密钥的操作界面，您只能在数据库 api_keys 表中手动创建。

以下参数可在创建时提供：

key：秘钥。您需要自行生成一个独一无二的长字符串（推荐长度 40 的字母数字组合），秘钥将作为 Authorization 请求头的值。
user_id：用户 ID，可选项。如果设置了此值，秘钥会被充当为指定的用户。

以下属性会被自动填充，部分作为保留字段尚未使用：

id：主键。由 MySQL 自动递增填写。
allowed_ips：IP 白名单。保留字段，尚未使用。
scopes：范围。保留字段，尚未使用。
created_at：创建时间。虽然可设置任意日期值，但理应表示秘钥的创建日期。
last_activity_at：上次使用时间。秘钥被使用时自动更新。

使用

发起 API 请求时，将秘钥添加到 Authorization 请求头即可。如需指定扮演用户角色，可在请求头末尾添加。

Authorization: Token 你的_API_秘钥_值; userId=1

如果在数据库中为密钥设置了 user_id 值，请求头中的 userId= 将被忽略。否则，任何有效的用户 ID 都可起作用。

访问令牌

访问令牌（Access Tokens）是基于用户的短效令牌。

这些令牌用于 Cookie 会话，使用他们与常规会话别无二致。用户的上次在线时间会随访问令牌的使用而更新。

创建

所有用户均可创建访问令牌。要创建令牌，请使用 /api/token 端点并提供用户凭证：

POST /api/token HTTP/1.1

{
    "identification": "JamXi[Ex]",
    "password": "Ex"
}

HTTP/1.1 200 OK

{
    "token": "YACub2KLfe8mfmHPcUKtt6t2SMJOGPXnZbqhc3nX",
    "userId": "1"
}

我们目前存在 3 种令牌类型，其中 2 种可以通过 REST API 创建。

session 令牌在 1 小时没有活动后即会过期。这是默认的令牌类型。
session_remember 令牌在 5 年没有活动后即会过期。在请求体中添加 remember=1 属性即可获取这种令牌。
developer 令牌永不过期。目前只可通过数据库手动创建这种令牌。

所有令牌将在用户注销时一并失效（包括 developer 令牌，不过我们计划改变这种状况）。

使用

发起 API 请求时，将上一步取得的 token 添加到 Authorization 请求头即可：

Authorization: Token YACub2KLfe8mfmHPcUKtt6t2SMJOGPXnZbqhc3nX

CSRF 保护

多数 POST/PUT/DELETE API 端点都有跨站请求伪造（Cross-site request forgery，缩写 CSRF）保护功能。因此，要发出无状态请求，必须进行身份验证。

使用 API 密钥或访问令牌时，可跳过 CSRF 保护。

注册用户

POST /api/users

{
  "data": {
    "attributes": {
      "username": "JamXi[Ex]",
      "email": "[email protected]",
      "password": "Ex"
    }
  }
}

错误

ArkFlarum 使用不同的 HTTP 状态码进行错误应答，所有错误表述均符合 JSON:API 错误规范。

下面是您使用 REST API 时可能遇到的一些常见错误：

CSRF 令牌不匹配

如果您收到了消息为 csrf_token_mismatch 的 400 HTTP 错误，这意味着 Authorization 请求头缺失或无效，导致 ArkFlarum 尝试通过会话 Cookie 进行身份验证。

{
  "errors": [
    {
      "status": "400",
      "code": "csrf_token_mismatch"
    }
  ]
}

验证错误

验证错误会返回一个 HTTP 状态码 422 的响应。无效字段的名称会以 pointer 值返回。在同一时间，单个字段可能出现多个错误。

{
  "errors": [
    {
      "status": "422",
      "code": "validation_error",
      "detail": "The username has already been taken.", // 用户名已被使用
      "source":{
        "pointer":"\/data\/attributes\/username"
      }
    },
    {
      "status": "422",
      "code": "validation_error",
      "detail": "The email has already been taken.", // 邮箱地址已被使用
      "source": {
        "pointer":"\/data\/attributes\/email"
      }
    }
  ]
}

PreviousJSG-API-ArkFlarum Next帖子

Last updated 2 years ago

hashtag身份验证​arrow-up-right

hashtagAPI 密钥​arrow-up-right

hashtag访问令牌​arrow-up-right

hashtagCSRF 保护​arrow-up-right

hashtag注册用户​arrow-up-right

hashtag错误​arrow-up-right

hashtagCSRF 令牌不匹配​arrow-up-right

hashtag验证错误​arrow-up-right