如要使用 Looker API 執行任何操作,您必須先通過驗證。您需要採取的步驟,取決於是否使用 SDK。
使用 SDK 進行驗證
建議的 API 驗證方法如下:
在 Looker 執行個體「管理」部分的「使用者」頁面中,建立 API 憑證。如果您不是 Looker 管理員,請要求 Looker 管理員為您建立 API 憑證。
API 憑證一律會繫結至 Looker 使用者帳戶。API 要求會「以」與 API 憑證相關聯的使用者身分執行。API 呼叫只會傳回使用者可查看的資料,且只會修改使用者可修改的內容。
您產生的 API 憑證包含用戶端 ID 和用戶端密鑰。您必須將這些資訊提供給 SDK。如需相關操作說明,請參閱 SDK 說明文件。
接著,SDK 會負責取得必要的存取權杖,並將權杖插入所有後續的 API 要求。
不使用 SDK 進行驗證
建議使用 SDK 進行 API 驗證。如要在不使用 SDK 的情況下進行驗證,請按照下列步驟操作:
在 Looker 執行個體「管理」部分的「使用者」頁面中,建立 API 憑證。如果您不是 Looker 管理員,請要求 Looker 管理員為您建立 API 憑證。
API 憑證一律會繫結至 Looker 使用者帳戶。API 要求會「以」與 API 憑證相關聯的使用者身分執行。API 呼叫只會傳回使用者可查看的資料,且只會修改使用者可修改的內容。
呼叫 API 的
login端點,取得短期 OAuth 2.0 存取權杖。您需要提供在步驟 1 中產生的 API 憑證,包括用戶端 ID 和用戶端密碼。將該存取權杖放入 Looker API 要求的 HTTP 授權標頭。以下是 Looker API 要求範例,其中包含授權標頭:
GET /api/4.0/user HTTP/1.1 Host: test.looker.com Date: Wed, 19 Oct 2023 12:34:56 -0700 Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
OAuth 2.0 存取權杖可用於多個 API 要求,直到存取權杖過期或透過呼叫 logout 端點失效為止。如果 API 要求使用過期的存取權杖,系統會傳回 401 Authorization Required HTTP 回應,表示要求失敗。
API 與使用者登入設定的互動
Looker API 驗證與 Looker 使用者登入完全無關。一次性密碼 (OTP、2FA) 和目錄驗證 (LDAP、SAML 等) 等使用者驗證通訊協定,不適用於 Looker API 驗證。
因此,從使用者驗證通訊協定中刪除使用者資訊,並不會刪除 API 憑證。使用「刪除個人使用者資訊」說明頁面上的程序,即可從 Looker 移除使用者的所有個人資料,防止他們登入 (包括透過 API 登入)。
管理 API 憑證
- 多組 API 憑證可繫結至單一 Looker 使用者帳戶。
- 建立及刪除 API 憑證不會影響使用者帳戶狀態。
- 刪除 Looker 使用者帳戶後,系統會使繫結至該帳戶的所有 API 憑證失效。
- API 用戶端密鑰必須保密。請勿將 API 用戶端密鑰儲存在原始碼或其他可供多人查看的位置。
- 在正式環境中,請避免使用繫結至 Looker 管理員帳戶的 API 憑證。建立專門用於 API 活動的最低權限使用者帳戶 (通常稱為「服務帳戶」),並在這些帳戶中建立 API 憑證。只授予預定 API 活動所需的權限。
使用 OAuth 進行驗證
Looker 可以使用跨來源資源共用 (CORS) 通訊協定,讓網頁應用程式從 Looker 執行個體網域外部呼叫 Looker API。如要瞭解如何設定 CORS 驗證,請參閱「使用 OAuth 進行 Looker API 驗證」說明文件頁面。