我对发布商的分离存有疑问。
如果我们希望发布商仅管理自己的API,我们是否可以限制他们查看/更新其他发布商发布的API?或者我们是否需要创建一个单独的租户?
理论上 - 可以将API可见性限制为特定角色,但有一种解决方法。如果发布者正在显示统计信息 - 统计信息会显示API的记录,如果没有特定的限制角色,用户应该看不到这些记录。点击统计记录(例如,订阅数量),用户将获得编辑API的访问权限,这不应该被看到。所以 - 现在我们有默默无闻的安全感。
对于商店和网关 - 确实检查了角色。我在考虑出版商
答案 0 :(得分:1)
按照设计,该租户中的每个发布商都可以看到单个租户中的所有API。基于角色的可见性仅适用于商店。
如果您创建多个租户,则可以隔离API。如果要在商店中访问所有这些内容,可以将API可见性设置为“public”。