如要使用 Looker API 執行任何操作,您必須先驗證。您需要採取的步驟取決於您是否使用 SDK。
使用 SDK 進行驗證
這是建議的 API 驗證方法:
在 Looker 執行個體的「管理」部分的「使用者」頁面上建立 API 憑證。如果您不是 Looker 管理員,請要求 Looker 管理員為您建立 API 憑證。
API 憑證一律會繫結至 Looker 使用者帳戶。API 要求會以「以」與 API 憑證相關聯的使用者身分執行。API 呼叫只會傳回使用者可查看的資料,並只修改使用者可修改的資料。
您產生的 API 憑證包含用戶端 ID 和用戶端密碼。您必須將這些資訊提供給 SDK。如需操作說明,請參閱 SDK 說明文件。
接著,SDK 會負責取得必要的存取權權杖,並將權杖插入所有後續的 API 要求。
不使用 SDK 進行驗證
我們建議使用 SDK 進行 API 驗證。如要不透過 SDK 驗證,請按照下列步驟操作:
在 Looker 執行個體的「管理」部分的「使用者」頁面上建立 API 憑證。如果您不是 Looker 管理員,請要求 Looker 管理員為您建立 API 憑證。
API 憑證一律會繫結至 Looker 使用者帳戶。API 要求會以「以」與 API 憑證相關聯的使用者身分執行。API 呼叫只會傳回使用者可查看的資料,並只修改使用者可修改的資料。
呼叫 API 的
login端點,取得短期 OAuth 2.0 存取權杖。您必須提供在步驟 1 中產生的 API 憑證,包括用戶端 ID 和用戶端密碼。將該存取權杖放入 Looker API 要求的 HTTP 授權標頭。以下是含有授權標頭的 Looker API 要求範例:
GET /api/4.0/user HTTP/1.1 Host: test.looker.com Date: Wed, 19 Oct 2023 12:34:56 -0700 Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
OAuth 2.0 存取權杖可用於多個 API 要求,直到存取權杖到期或透過呼叫 logout 端點而失效為止。使用已過期存取權杖的 API 要求會失敗,並傳回 401 Authorization Required HTTP 回應。
API 與使用者登入設定的互動
Looker API 驗證與 Looker 使用者登入完全無關。使用者驗證通訊協定 (例如一次性密碼 (OTP、2FA) 和目錄驗證 (LDAP、SAML 等) 不適用於 Looker API 驗證。
因此,從使用者驗證通訊協定中刪除使用者資訊,並不會刪除其 API 憑證。使用「刪除個人使用者資訊」說明文件中的程序,即可從 Looker 中刪除使用者的所有個人資料,並防止他們登入 (包括透過 API)。
管理 API 憑證
- 單一 Looker 使用者帳戶可綁定多組 API 憑證。
- 您可以建立及刪除 API 憑證,而不會影響使用者帳戶的狀態。
- 刪除 Looker 使用者帳戶後,與該使用者帳戶繫結的所有 API 憑證都會失效。
- API 用戶端密鑰必須保密。請勿將 API 用戶端密鑰儲存在原始碼或其他許多人可見的地方。
- 在正式環境中,請勿使用與 Looker 管理員帳戶繫結的 API 憑證。請建立專門用於 API 活動 (通常稱為「服務帳戶」) 的最小權限使用者帳戶,並在這些帳戶中建立 API 憑證。只授予 API 活動所需的權限。
HTTPS 驗證
即使您使用用戶端 SDK 處理驗證詳細資料,可能還是會好奇 Looker API 驗證機制如何運作。如需驗證的低階詳細資料,請參閱 GitHub 上的「How to Authenticate to the Looker API」(如何驗證 Looker API)。
使用 OAuth 進行驗證
Looker 可使用跨來源資源共享 (CORS) 通訊協定,讓網路應用程式從 Looker 執行個體網域外呼叫 Looker API。如要瞭解如何設定 CORS 驗證,請參閱「使用 OAuth 驗證 Looker API」說明文件頁面。