العربية
  • الرمز الشخصي للوصول
  • المصادقة

تبسيط مصادقة API باستخدام الرمز الشخصي للوصول — رمز API أكثر أمانًا

شرح كيفية عمل الرموز الشخصية للوصول (PATs)، ومتى يجب استخدامها، وكيفية دعم ميزات PAT في خدماتك، وكيف تختلف عن مفاتيح API، ورموز API، ورموز التحمل، ورموز OAuth، وكلمات المرور.

Ran
Ran
Product & Design

توقف عن إضاعة أسابيع في مصادقة المستخدم
أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.
ابدأ الآن
Product screenshot

الرموز الشخصية للوصول (PATs) هي رموز يتم إنشاؤها بواسطة المستخدم لتحل محل كلمات المرور للمكالمات API. مصممة لمستخدمين معينين، توفر PATs وصولاً آمنًا ومسيطرًا على الموارد.

مصادقة سهلة. تحكم دقيق في الوصول. سير عمل مبسط. هذه فقط بعض الأسباب التي تجعل المطورين وفرق المنتج حول العالم يعتمدون على الرموز الشخصية للوصول لتعزيز الإنتاجية، سواء في إدارة قنوات CI/CD، أو دمج APIs، أو الوصول إلى الأدوات.

هل تشعر بالفضول حيال كيفية عمل PATs، وفوائدها، أو متى يجب استخدامها؟ هذا الدليل يغطيك.

ما هو الرمز الشخصي للوصول؟

الرمز الشخصي للوصول هو وسيلة مصادقة آمنة مؤقتة للوصول إلى مواردك وخدماتك الشخصية عبر APIs. يتم استخدامه بشكل رئيسي من قبل المطورين لتبسيط المهام مثل الوصول إلى APIs أو أتمتة سير العمل.

فكر في الرمز الشخصي للوصول على أنه "مفتاح" للوصول إلى API، بديلاً عن الحاجة إلى كلمة مرور. وعلى عكس كلمة المرور، تحتوي PATs على أذونات محددة وتواريخ انتهاء، مما يضمن أنها تُستخدم فقط للغرض المحدد لها، مثل الوصول إلى ملفات المستخدم أو أنظمة الفوترة، ولكن ليس أذونات المشرف.

الميزات الرئيسية للرموز الشخصية للوصول:

  • الصديقة للمطورين: الرموز الشخصية للوصول أسهل في الإدارة من سير عمل OAuth الكامل، مما يجعلها مثالية للبرامج النصية، والأتمتة، أو قنوات CI/CD.
  • رموز متعددة: يمكن للمستخدمين إنتاج وإدارة عدة رموز شخصية للوصول، كل واحدة مخصصة لخدمة أو غرض محدد.
  • الوصول المخصص للمستخدم: على عكس مفاتيح API العامة، ترتبط الرموز الشخصية للوصول بحسابات المستخدمين الفردية. هذا يعني أن أعضاء الفريق قد يحتاجون إلى إنشاء رموز منفصلة للوصول المشترك.
  • الأذونات الدقيقة: مع الرموز الشخصية للوصول، يمكنك تحديد نطاقات محددة، مما يمنح الوصول فقط إلى الموارد والإجراءات المطلوبة.
  • الوصول المحدود بالوقت: يمكن تكوين الرموز الشخصية للوصول مع تواريخ انتهاء، تقليل نافذة المخاطر في حال التعرض.
  • الإلغاء السهل: على عكس كلمات المرور، يمكن إلغاء أو إعادة إنشاء الرموز الشخصية للوصول بسهولة دون التأثير على بيانات اعتماد الحساب الأساسية.

الرمز الشخصي للوصول مقابل رمز التحمل مقابل رمز API

  1. الرمز الشخصي للوصول هو نوع من رمز API: الرمز الشخصي للوصول هو نوع من رمز API على مستوى المستخدم مرتبط بحساب المستخدم. يسمح بالوصول إلى موارد النظام نيابة عن المستخدم. PATs أكثر أمانًا من مفاتيح API التقليدية لأنها تتيح تحكمًا دقيقًا في الأذونات — مثل تقييد الوصول إلى مخازن أو منظمات محددة — ويمكن أن تتضمن تواريخ انتهاء للأمان الإضافي.
  2. يمكن استخدام الرمز الشخصي للوصول كرمز تحمل: رمز التحمل هو وسيلة لتفويض طلبات API، يتم إنشاؤه غالبًا ديناميكيًا باستخدام بروتوكولات مثل OAuth أو JWT. الرمز الشخصي للوصول هو نسخة ثابتة من رمز التحمل، يتم إنشاؤه يدويًا بواسطة المستخدم (مثل على GitHub). على سبيل المثال، عند استخدام GitHub PAT لمكالمات API، تقوم بتضمينه في عنوان الطلب كـ authorization: bearer <your-pat>. في هذه الحالة، يعمل PAT كرمز تحمل.
  3. رمز API هو مصطلح عام: رمز API هو مصطلح عام لأي رمز يستخدم لمصادقة طلبات API. يتضمن أنواعًا مختلفة، مثل رموز التحمل، رموز OAuth، والرموز الشخصية للوصول. PATs ورموز التحمل هي ببساطة أنواع محددة من رموز API.

اختر آليات AuthN وAuthZ الخاصة بك

قبل اعتماد رمز شخصي للوصول، من المهم فهم دوره ضمن المنظر الأوسع لأدوات المصادقة. مع وجود العديد من الآليات المختلفة، من المهم معرفة كيفية مقارنتها. أدناه جدول شامل يوضح الفروق الرئيسية بين الرموز الشخصية للوصول (PATs)، كلمات المرور، مفاتيح API، و رموز OAuth لمساعدتك في اتخاذ قرار مستنير.

  1. الرمز الشخصي للوصول: وسيلة مصادقة خفيفة مثالية للمهام الآلية أو الوصول إلى API. يوفر تحكمًا دقيقًا ومضبطًا في الأذونات، مما يضمن وصول آمن ومخصص.
  2. كلمة المرور: نهج مصادقة تقليدي يستخدم للوصول إلى الحسابات الشخصية عن طريق واجهة المستخدم. يمنح نفس الأذونات كمالك الحساب، دون توفير دقة إضافية.
  3. رمز OAuth: الطريقة الأكثر أمانًا لمنح خدمات الطرف الثالث وصولاً محددًا. يسمح للمستخدمين بتحديد نطاقات وصول معينة دون تعريض بيانات اعتمادهم، مما يضمن الأمان والمرونة.
  4. **مفتاح API: يستخدم عادة لأتمتة الوصول إلى API، ترتبط مفاتيح API بحسابات الخدمات بدلاً من الحسابات الشخصية. ومع ذلك، فهي لا تحتوي على تحكم في الأذونات المتوفر مع PATs أو OAuth.
الميزةكلمة المرورالرمز الشخصي للوصولرمز OAuthمفتاح API
التعريفيتحقق المستخدمون من خلال المعرف وكلمة المرور.رمز للوصول إلى موارد أو APIs معينة، غالبًا بأذونات محدودة.نظام يسمح للمستخدمين بتطبيقات الطرف الثالث للوصول إلى بياناتهم دون مشاركة بيانات الاعتماد. مثال، تسجيل دخول Googleسلسلة فريدة تستخدمها العملاء لمصادقة طلبات API.
تحديد النطاقيمنح عادة الوصول الكامل إلى حساب المستخدم بمجرد تسجيل الدخول.يمنح تحكمًا دقيقًا في الأذونات.يسمح للمستخدم بتحديد ما يمكن أن تصل إليه تطبيقات الطرف الثالث.يمنح عادة الوصول إلى موارد API محددة. لا يوجد تحكم على المستوى الدقيق.
الإلغاءصعب الإلغاء بدون تغيير كلمة المرور، مما يؤثر على خدمات متعددة.سهل الإلغاء من قبل المستخدم أو المسؤول.يمكن أن يتم الإلغاء بدون التأثير على بيانات الاعتماد الخاصة بالمستخدم.يمكن الإلغاء أو التجديد على مستوى خدمة API.
الانتهاءلا ينتهي إلا إذا تغير بواسطة المستخدم.عادة طويل الأجل، ولكن يمكن تكوينه للانتهاء.تنتهي صلاحية رموز الوصول بعد وقت محدد، يمكن لرموز التجديد تمديد الوصول.عادة طويل الأجل، ولكن يمكن تدويره أو تقييده من قبل مزود API.
سهولة الاستخدامسهل التذكر ولكن محفوف بالمخاطر إذا تم التعامل معة بشكل سيئ.سهل الإنشاء والاستخدام للمهام الآلية.يتطلب تفاعل مستخدم أولي ولكنه يوفر تفويض وصول آمن.سهل الاستخدام في الطلبات ولكنه غير مثالي للمصادقة التي تواجه المستخدم.
الأفضل لالمستخدمين على الجانب العميل لتسجيل الدخول الأساسي والتحقق.الأتمتة، الوصول المحدود لمورد API، وتطوير في قنوات CI/CD.تطبيقات الطرف الثالث التي تحتاج إلى وصول محدود إلى بيانات المستخدم دون تخزين كلمات المرور.الخدمات الخلفية، الاتصال خادم إلى خادم، وAPIs العامة.
خطر الأمانإذا سُرقت، تمنح وصولاً كاملاً إلى الحساب.إذا تسربت، تمنح الوصول فقط إلى الموارد المحددة. يمكن الإلغاء بسهولة.إذا تسربت، يمكن لتطبيقات الطرف الثالث تنفيذ عمليات ضمن النطاق الممنوح.إذا سُرقت، تستخدم عادة للوصول خادم إلى خادم.

كيف يعمل الرمز الشخصي للوصول؟

تعمل الرموز الشخصية للوصول بشكل مشابه لرموز الوصول OAuth، ولكنها عادة تكون سلاسل بدون معلومات قابلة للقراءة للمستخدم عن محتواها. عند المصادقة مع خدمة مثل GitHub، يمكنك إنتاج PAT مرتبط بحسابك المستخدم وتعيينه أذونات محددة. يعمل هذا الرمز كبديل آمن لاستخدام كلمة مرور عند إجراء الطلبات — مثل الوصول إلى مستودع خاص عبر API.

عادة، يتم تضمين PAT في عناوين الطلبات، كما هو موضح في هذا المثال:

من خلال إرسال PAT الخاص بك بهذه الطريقة، يمكن للخدمة التحقق من هويتك، وتقييم الأذونات المرتبطة بالرمز الخاص بك، وإما تقديم البيانات المطلوبة أو تنفيذ الإجراء المحدد.

كيفية استخدام الرمز الشخصي للوصول؟

  • إنتاج رمز شخصي للوصول: ابدأ بإنشاء رمز شخصي للوصول عبر المنصة التي تستخدمها. وتحديد نطاقات محددة لتحديد أذونات الوصول الخاصة به.
  • مصادقة طلبات API: مع جاهزية الرمز الشخصي للوصول، استخدمه لمصادقة الطلبات إلى الخدمات التي تتطلب وصولاً آمنًا. قم بتضمين الرمز كرمز تحمل في عنوان التفويض لطلبات API الخاصة بك.
  • إلغاء رمز شخصي للوصول: إذا كنت بحاجة إلى إبطال الرمز الخاص بك، ببساطة قم بإبطاله من خلال إعدادات المصادقة الخاصة بالمنصة. بمجرد إبطاله، سيتم رفض أي طلبات API مقدمة بهذا الرمز تلقائياً.

متى يجب استخدام الرموز الشخصية للوصول؟

الرموز الشخصية للوصول تتفوق في السيناريوهات التي تحتاج فيها إلى توفير وصول آمن، صديق للمطورين، وذو مجال محدد للAPIs الخاصة بك. هنا بعض الاستخدامات المثالية:

  • المهام الآلية: مثالية للأدوات أو البرامج النصية التي تحتاج إلى استرداد البيانات من APIs دون الحاجة إلى المطورين لتضمين بيانات الاعتماد الحساسة.
  • تحكم دقيق في الأذونات: تمكين الوصول الدقيق عن طريق منح الأدوات أو البرامج النصية أذونات محدودة، مثل الوصول إلى مستودعات محددة، دون كشف الامتيازات الكاملة للحساب.
  • الوصول المؤقت: مثالي للمواقف الحساسة للوقت، حيث يؤدي تقييد مدة الوصول إلى تقليل مخاطر الأمان.
  • الوصول المبسط للمطورين: وسيلة مريحة لمنح وصول للمطورين الفرادى دون تعقيد تكوين سير عمل تفويض OAuth الكامل.
  • التكامل مع الطرف الثالث: تعزيز الوظائف مع الأدوات الخارجية عن طريق تقييد الوصول إلى إجراءات محددة مسبقًا. على سبيل المثال، عندما تستخدم الشركة أداة إدارة المشاريع، يمكن تكامل الطرف الثالث أن يسمح لأعضاء الفريق بإنشاء المهام أو تحديث الحالة مباشرة من محادثات Slack دون الحاجة إلى الوصول الكامل إلى أداة إدارة المشاريع.

يمكنك استخدام الرموز الشخصية للوصول على GitHub منذ 2013، والتي أصبحت شائعة بسبب كونها بسيطة ومرنة. تدعم العديد من أدوات المطورين ومنصات SaaS PATs، مما يجعلها سهلة الاستخدام وتفضيلاً شائعًا للمطورين:

  • GitHub/GitLab/Azure DevOps (أدوات التطوير): تسهم في أتمتة CI/CD، والاتصال بالأدوات الأخرى، وإدارة مستودعات الشيفرة.

    github-personal-access-token.png

  • Figma (أدوات التصميم): تجعل التفاعل على التصميمات أسهل باستخدام تكاملات API.

    figma-personal-access-token.png

  • Atlassian Jira / Asana (إدارة المشاريع): تسهل إنشاء أو تحديث أو حذف المهام، إدارة السبرينتات، وتنظيم المشاريع باستخدام APIs.

    jira-personal-access-token-admin.png

هل يمكنني مشاركة رمز شخصي للوصول مع مستخدمين آخرين؟

الإجابة المختصرة — لا، لا يجب عليك ذلك.

الرموز مخصصة لتكون مرتبطة بحساب فردي ولا ينبغي مشاركتها أبداً. إذا كان الآخرون يحتاجون إلى الوصول، من الأفضل إنشاء رموز فريدة بأذونتهم أو إعداد أدوار المستخدمين لتجنب مخاطر الأمان. سوء استخدام الرموز يمكن أن يؤدي إلى وصول غير مقصود، تلف البيانات، أو انتهاكات الخصوصية. احتفظ بالرموز خاصة وألغِ أي رمز تشك في تعرضه للخطر.

تفعيل تطبيقك لإنتاج رموز شخصية للوصول باستخدام Logto

سواء كنت تقدم خدمات B2B أو تطور منتجات AI متقدمة، من الضروري تطبيق مصادقة وتفويض صديقة للمطورين. رمز شخصي للوصول يمكن أن يفتح أفاقًا جديدة لأعمالك.

Logto، حل شامل لإدارة هوية وتفويض العميل (CIAM)، يسمح لك بإنتاج، إدارة، وإلغاء رموز شخصية للوصول بسهولة. إليك كيفية البدء:

  1. انتقل إلى Logto Console > إدارة المستخدمين.
  2. تصفح لمحة عن مستخدم محدد لإدارة الرموز الخاصة بالوصول الشخصي.

personal-acess-tokens-management.webp

باستخدام Logto، يمكنك:

  • إنتاج رموز شخصية جديدة للوصول.
  • إدارة رموز متعددة لمستخدم واحد.
  • ضبط تواريخ انتهاء مخصصة للرموز.
  • إعادة تسمية الرموز لتنظيم أفضل.
  • إلغاء الرموز عندما لم تعد ضرورية.

logto-create-personal-access-token.png

بالإضافة إلى ذلك، يمكنك تمكين المستخدمين من إدارة الرموز الشخصية للوصول في صفحات إعدادات حساباتهم من خلال APIs إدارة Logto.

اكتشف Logto — الحل المتكامل لجميع احتياجات AuthN و AuthZ الخاصة بك