Wczoraj, podczas uruchamiania nowej strony dla (nowego) klienta na motywie Divi od Elegant Themes (WordPress) standardowo zalogowałem się do swojego panelu klienta, w celu wygenerowania nowego klucza API, który służy m.in. do pobierania aktualizacji motywu. Moją uwagę przykuło pole tuż nad każdym kluczem API, w którym możemy wpisać nazwę dla klucza. Niby mała zmiana, ale może jest to zwiastun zmian w całym mechanizmie autoryzacji…
API Key Label w panelu klienta Elegant Themes
W tej chwili w przypadku motywów i wtyczek od Elegant Themes jest tak, że wystarczy wygenerować klucz API i podać go w ustawieniach. Klucz ten nie jest w żaden sposób powiązany z konkretną stroną (domeną), więc teoretycznie można używać jednego klucza do wszystkich stron.
Ja jednak wole dla każdej strony, dla każdego projektu generować oddzielny klucz, dzięki czemu mogę w razie potrzeby dokonać jego dezaktywacji, odcinając od aktualizacji (i dostępu do szablonów) tylko konkretną stronę. I choć przydało mi się to do tej pory może raz czy 2, to warto zostawić sobie taką możliwość.
Nowa opcja, o której na wstępie pisałem, nazywa się „API Key Label” i pozwala przypisać nazwę do każdego klucza:
Jest to niewątpliwie krok w dobrą stronę, dzięki czemu szybko możemy zlokalizować klucz przypisany do wybranej strony. Natomiast ja czekam na opcję, która pozwoli przypisać klucz do konkretnej domeny, tak by pod innym adresem nie dało się go użyć. Mam nadzieję, że wprowadzona opcja to właśnie zawoalowana zapowiedź tego typu zmian… ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
Co sie stanie ze stroną, jesli dezaktywuje jej klucz API? Jak sie to objawia na stronie? Czy ona nadal dziala?
Nadal działa, ale nie będą działać opcje związane z usługą, czyli aktualizacje, czy dostęp do rozwiązań chmurowych. Jeśli myślisz, by nie przedłużać subskrypcji dla siebie, to Twoja decyzja. Ale jeśli chcesz to zrobić jakiemuś (byłemu) klientowi, to choć nie znam szczegółów/ustaleń, to zasadniczo nie jest to fajne zagranie.
Bardzoej chodzi o to, ze klient po ukonczeniu praktycznie calego projektu, powiedzial, ze jest niezadowolony i przekazuje to komus innemu. Kwota za prace byla czesciowo zwrocona, wiec pytanie, czy ktos inny moze dac swoj klucz api do tego projektu w ramach utrzymywania dalej strony.
Możesz klucz wyłączyć, strona będzie działać, ale bez m.in. aktualizacji motywu. Na stronie też można bez problemu zmienić klucz na inny. Natomiast jakbyś się dogadała, że klucz zostawiasz, to upewnij się, że jesteś wylogowana z ich chmury, jeśli się do niej logowałaś w ramach panelu.
I bonus: mając dostęp do strony/bazy danych, dość łatwo można wyciągnąć klucz, a że wbrew moim nadzieją nie wdrożyli cały czas jeszcze blokady klucza do domeny, to…