问什么是正确的方式授权风暴路径应用？

EN

首先，这是一个很好的问题，所以我不知道为什么你会被否决。API键可能是一个令人困惑的主题。在回答你的具体问题之前，我会先澄清你周围的谜团。

在Stormpath中，有两种类型的API密钥:承租API密钥和Account API密钥。租户API键是您对Stormpath进行API调用所需要的。他们将您标识为Stormpath租户的管理员，并允许您对租户的所有数据(换句话说，存储在风暴路径中的任何内容和所有内容)进行全面的读/写访问。根据定义，管理员可以访问Stormpath API和Admin控制台(也就是登录到Stormpath时看到的网页)。

还有Account API键的概念。用户(或设备)注册使用您的web应用程序、移动应用程序或API服务。在风暴路径中，帐户存储在目录中，而目录又存储在应用程序中。你可以在这里读到这一切。我喜欢把API密钥看作是用户名和密码的一个更安全的版本。如果您正在构建自己的API服务，并且希望用户在开始向API发出请求之前进行身份验证，则它们非常有用。

这就是它真正的全部。API密钥对您进行身份验证--仅此而已。有大量的文章讨论API密钥是否比其他方法更安全，所以您可以自由地查看这些方法。但是在Stormpath中，为了与我们的API进行通信，您必须将自己标识为Stormpath租户管理员。当您构建自己的web应用程序、移动应用程序或API服务时，您可以选择希望用户与服务交互的方式。

我希望这能帮你理清问题。

如果您想为用户创建任何其他类型的角色/权限，您需要了解授权以及它在Stormpath中的工作方式。我不会在这里详细说明这一点，但是你可以在我们的文档里读到关于它的所有内容。。