权限

本节解释了使用开发者控制台和Ontology SDK所需的不同权限。这些角色和权限可以在Foundry设置的角色部分进行管理。

用户权限

开发者控制台的用户自动设置为他们创建的应用程序的Owner。应用程序所有者可以与其他开发人员共享应用程序并授予给定用户权限。

应用程序的用户可以拥有以下角色之一：

• Viewer（只读）: 可以查看应用程序详细信息并使用生成的Ontology SDK开发应用程序。Viewer不能编辑应用程序信息、添加或修改实体或生成Ontology SDK的新版本。
• Editor（编辑者）: 可以编辑应用程序信息和OAuth参数，添加或修改实体，并生成Ontology SDK的新版本。
• Owner（所有者）: 拥有与Editor相同的权限，并可以与其他开发人员共享应用程序。

创建应用程序

用户必须拥有第三方应用程序管理员角色才能在开发者控制台中创建新应用程序。一旦创建了应用程序，用户可以将应用程序分享给其他开发人员并授予他们Editor权限，如下所述。

网站托管

通过网站托管，您可以在Foundry上托管和提供应用程序的文件。有关更多详细信息，请查看在Foundry上部署Ontology SDK应用程序（Beta）文档。

• 要在Foundry上部署网站，您必须在特定开发者控制台应用程序上拥有Editor权限。有关更多信息，请参阅用户权限文档。

• 拥有信息安全官角色的Foundry用户可以批准或拒绝域名创建请求。

应用程序权限

开发者控制台支持两种类型的应用程序：

• 面向客户端: 前端服务，包括网页、桌面或移动应用程序。这些应用程序不得用于存储客户端凭据。
• 后端服务: 用于支持后端工作流程的应用程序，如应用程序服务或守护程序。这些应用程序可用于安全地存储客户端凭据。

同一应用程序可以包括面向客户端和后端类型。您创建的应用程序类型将决定可以使用的权限类型和OAuth工作流程，如下所述。

权限类型

在创建应用程序时，您必须选择用于访问应用程序数据的权限类型。可用两种权限类型：

• 用户权限: 用户的权限将决定他们可以读取和写入Foundry Ontology的内容。此权限类型将使用授权代码授予OAuth工作流程。
• 应用程序权限: 您的应用程序将使用生成的服务用户进行权限，而不是应用用户权限。此权限类型将使用客户端凭据授予OAuth工作流程。

示例

假设您正在构建一个显示车辆数据的应用程序。

如果您希望用户只能查看他们有权限访问的Cars，请选择应用用户权限。如果您希望用户能够查看所有Bikes，无论用户权限如何，请选择应用应用程序权限，通过生成的服务用户为应用程序授予单独的权限。

如果您希望用户查看他们有权访问的所有Cars 和所有Bikes，请选择同时使用两种权限选项。

资源访问范围

当您将资源添加到应用程序的SDK中时，这些资源及其依赖项将自动添加到应用程序的资源访问范围中。虽然用户必须拥有相关的资源权限，但资源访问范围确保用户只能访问通过给定OAuth词元批准的资源。

例如，当将新的对象类型、链接类型、操作类型或函数添加到您的SDK配置时，任何所需的基础数据集或相关资源将被添加到资源访问范围中。

为了使您的应用程序正常运行，您可能需要在依赖项更改时或移除资源时手动管理范围。

当依赖项更改时

如果您在添加资源后应用程序的SDK中所需的依赖项发生更改，您应更新应用程序的资源访问范围以包括更改后的依赖项。您可以通过开发者控制台执行此操作，在应用程序范围过时时查看警告，并通过引导工作流程进行修正。例如，如果为已包含在应用程序SDK中的对象类型配置了新的支持数据集，则可能需要这样做。

应用程序SDK页面上显示的过时依赖项检测警告示例。

修正过时依赖项的工作流程示例，此例中显示了对象类型缺少的数据集。

移除资源时

如果您创建了一个新的应用程序SDK版本并移除了之前包含的资源，则如果这些资源立即从资源访问范围中移除，当前版本的应用程序将无法使用。为了防止这种情况发生，您必须从SDK中移除之前包含的资源，但在您已将所有客户端升级到应用程序的新版本之前，将这些资源保留在资源访问范围中，之后再将之前包含的资源从范围中移除。

当您从SDK中移除资源时，开发者控制台应用程序将显示一条警告，确认您是否也想从范围中移除它们或保留它们。您可以稍后在OAuth & 范围页面上清理旧资源。

应用程序SDK页面上显示的移除资源时的警告示例。

清理旧访问范围资源的工作流程示例，来自以前SDK版本的旧资源。