3.8.1

public/wiki/2x-api-righst.md

@@ -0,0 +1,57 @@
+# 开放接口权限
+
+针对提供给开发者的开放接口API，PhalApi Pro设计了一套完善的权限控制体系，可在不同维度进行灵活的权限控制。  
+
+## 接口权限规则
+
+从开发者账号类型为起点，开发者账号类型分为个人开发者、企业开发者等多种开发者类型；每种开发者账号类型下可注册多个开发者；而每个开发者可以创建多个应用；每个应用可以调用多个开放接口API。因此，整体的结构如下：  
+
+![](http://cdn7.okayapi.com/yesyesapi_20200409154500_0442e1dde533dc2868ba4d2aec6e1bea.png)  
+
+## 授权项目
+
+授权项目，主要是针对开放接口，对应```App.*.*```系列接口，如果需要管理其他系列的接口，可以手动添加。  
+
+![](http://cdn7.okayapi.com/yesyesapi_20200409154617_68d427a3daafcefd812c5a35eda9f7e9.png)
+
+位于App命名空间下的接口，会自动纳入接口权限管理，因此推荐在App下扩展添加新的开放接口。  
+
+## 授权对象
+
+> 温馨提示：管理员账号下的全部应用，拥有全部接口权限。接口权限，主要针对开发者进行权限分配。  
+
+### 开发者应用维度
+授权对象主要是针对开发者的客户端应用，因为使用开放接口的主要对象是程序。每个开发者应用都有一个唯一的app_key，因此通过对app_key维度可进行接口权限的控制。
+
+### 开发者账号维度
+每个开发者应用最多可属于一位开发者，因此也可以通过开发者账号进行接口权限控制。  
+
+### 账号类型维度
+最后，可以对开发者的账号类型统一进行角色权限。  
+
+因此，接口权限的授权对象可以分为：开发者应用、开发者账号和账号类型三个维度。  
+
+## 授权优先级
+
+根据前面的维度，对于接口权限的优先级，最高到低，依次是：  
+
+> 开发者应用接口权限 -> 开发者账号接口权限 -> 账号类型接口权限 -> 默认开放接口权限  
+ 
+ + 最高：开发者应用接口权限，通过app_key匹配规则库
+ + 开发者账号接口权限，通过账号ID匹配规则库
+ + 账号类型接口权限，通过账号等级匹配规则库
+ + 最低：默认开放接口权限，通过```default_app_api_rigths_is_allow```配置项指定
+ 
+按优先级从高到低，依次寻找权限规则，命中即生效，进行短路判断。  
+ 
+> 再次温馨提示：管理员账号下的全部应用，拥有全部接口权限。接口权限，主要针对开发者进行权限分配。所以，管理员所创建的应用，只适合内部使用。   
+
+## 接口权限规则配置
+
+进入管理后台，可进行各个维度的接口权限配置。  
+
+## 如何取消接口权限判断？  
+
+如果需要取消全部接口的权限判断，可以修改```default_app_api_rigths_is_allow```配置为true，但不推荐。  
+
+如果需要取消某个接口的权限判断，可以在PHP代码中配置白名单，此部分将会在技术文档进行说明。查看[接口白名单配置文档](http://docs.phalapi.net/#/v2.0/filter?id=%e7%99%bd%e5%90%8d%e5%8d%95%e9%85%8d%e7%bd%ae)。