Looker API 身份验证

如需使用 Looker API 执行任何操作,您首先需要对它进行身份验证。所需步骤取决于您是否使用 SDK。

使用 SDK 进行身份验证

以下是推荐的 API 身份验证方法:

  1. 在 Looker 实例“管理”部分的“用户”页面上创建 API 凭据。如果您不是 Looker 管理员,请让 Looker 管理员为您创建 API 凭据。

    API 凭据始终绑定到 Looker 用户帐号。API 请求将以与 API 凭据相关联的用户“身份”执行。调用该 API 将仅返回允许用户查看的数据,并且仅修改允许用户修改的内容。

  2. 您生成的 API 凭据包含客户端 ID 和客户端密钥。您需要将这些信息提供给 SDK。您可以在 SDK 文档中找到相关说明。

然后,SDK 会负责获取必要的访问令牌,并将其插入所有后续 API 请求中。

无需 SDK 的身份验证

建议使用 SDK 进行 API 身份验证。如需在不使用 SDK 的情况下进行身份验证,请执行以下操作:

  1. 在 Looker 实例“管理”部分的“用户”页面上创建 API 凭据。如果您不是 Looker 管理员,请让 Looker 管理员为您创建 API 凭据。

    API 凭据始终绑定到 Looker 用户帐号。API 请求将以与 API 凭据相关联的用户“身份”执行。调用该 API 将仅返回允许用户查看的数据,并且仅修改允许用户修改的内容。

  2. 通过调用 API 的 login 端点,获取一个短期 OAuth 2.0 访问令牌。您需要提供在第 1 步中生成的 API 凭据,其中包括客户端 ID 和客户端密钥。

  3. 将该访问令牌放入 Looker API 请求的 HTTP 授权标头中。包含授权标头的 Looker API 请求示例可能如下所示:

    GET /api/3.0/user HTTP/1.1
    Host: test.looker.com
    Date: Wed, 19 Oct 2016 12:34:56 -0700
    Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
    

OAuth 2.0 访问令牌可用于多个 API 请求,直到访问令牌过期或通过调用 logout 端点使其失效为止。使用过期访问令牌的 API 请求将失败并返回 401 Authorization Required HTTP 响应。

API 与用户登录设置的交互

Looker API 身份验证完全独立于 Looker 用户登录。一次性密码(OTP、2FA)和目录身份验证(LDAP、SAML 等)等用户身份验证协议不适用于 Looker API 身份验证。

因此,从用户身份验证协议中删除用户的信息并不会删除其 API 凭据。按照删除个人用户信息文档页面上的步骤,从 Looker 中移除用户的所有个人数据,从而使其根本无法登录,包括通过 API 登录。

管理 API 凭据

  • 您可以将多组 API 凭据绑定到单个 Looker 用户帐号。
  • 创建和删除 API 凭据不会影响用户帐号的状态。
  • 删除 Looker 用户帐号会使绑定到用户帐号的所有 API 凭据失效。
  • API 客户端密钥必须保密。请避免将 API 客户端密钥存储在源代码或其他所有人都能看到的位置。
  • 在生产环境中,请避免使用绑定到 Looker 管理员账号的 API 凭据。创建专门用于 API 活动的最小权限用户帐号(通常称为“服务帐号”),并为这些帐号创建 API 凭据。仅授予预期 API 活动所需的权限。

HTTPS 身份验证

即使您使用客户端 SDK 为您处理身份验证详细信息,您可能仍然对 Looker API 身份验证的运作方式感到好奇。如需详细了解身份验证,请参阅 GitHub 上的如何向 Looker API 进行身份验证

使用 OAuth 进行身份验证

Looker 可以使用跨域资源共享 (CORS) 协议,让 Web 应用能够从 Looker 实例网域外部调用 Looker API。如需了解如何配置 CORS 身份验证,请参阅使用 OAuth 的 Looker API 身份验证文档页面。