验证 CouchDB 中的 API 密钥

Question

我最近对 ​​CouchDB 产生了兴趣，并想尝试围绕它构建一个小型应用程序。

我当前邀请系统的方式是，请求提供两个内容：一个 id、一个 API 密钥和一个格式。 ID 是数据库中文档的 _id，API 密钥是具有属性 {"valid" : true/false} 的另一个文档的 _id，格式是他们想要返回的格式。如果 API 密钥有效，系统将以请求的格式为给定的 ID 生成显示页面。否则，它将返回 403 统计代码。

不幸的是，我找不到从显示页面提取另一个文档的方法。我刚刚开始使用 CouchDB，所以也许我缺少一些简单的东西。

Answer 1

对于 _show 函数，涉及三个部分：

1. 设计文档
2. 设计文档中的 show 函数
3. 要显示的附加文档

对于 URL 格式 /db/_design/ddoc/_show/ my_show_func/otherdoc：

1. 设计文档是 _design/ddoc
2. 显示函数是该设计文档中的 shows.my_show_func
3. 要显示的文档有一个 otherdoc 的 _id

这些是涉及的仅有两个文档。我认为执行您所描述的操作的唯一方法是为每个 API 密钥提供一个设计文档。用户将查询/db/_design/API_KEY/_show/other_doc_id。 CouchDB 很轻松。数千个具有相同或相似 _show 功能的设计文档并没有什么问题。您可以根据需要使用 HTTP COPY 方法将基本设计文档克隆到新的 API 密钥。然后，您可以通过删除设计文档来撤销 API 密钥。然而，这显然是一种独特的方法，值得三思。

最后一个考虑因素是（使用默认的 CouchDB、无反向代理、mod_security 等）如果用户可以读取一个文档，他们就可以读取整个数据库（例如，从 _all_docs 查询）。因此显示功能只是软件的一种便利，而不是安全网关。