Authentication on OHTLY Blog https://blog.ohtly.com/tags/authentication/ Recent content in Authentication on OHTLY Blog Hugo zh-cn Thu, 25 Jun 2026 12:10:34 +0800 CouchDB 没有 API Key 以及解决办法 https://blog.ohtly.com/posts/2026-06-25-couchdb-no-apikey/ Thu, 25 Jun 2026 12:10:34 +0800 https://blog.ohtly.com/posts/2026-06-25-couchdb-no-apikey/ <h2 id="问题"> 问题 <a class="heading-link" href="#%e9%97%ae%e9%a2%98"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h2> <p>需要给 CouchDB 创建一个凭证,让其他节点能拉取数据库做数据同步。最初想的是&quot;API Key&quot;——一个静态字符串,像大多数现代服务那样,拿来就能用在 <code>curl</code> 或代码中。</p> <h2 id="迷惑couchdb-有没有-api-key"> 迷惑:CouchDB 有没有 API Key? <a class="heading-link" href="#%e8%bf%b7%e6%83%91couchdb-%e6%9c%89%e6%b2%a1%e6%9c%89-api-key"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h2> <p>很多人提到的 CouchDB &ldquo;API Key&rdquo; 其实来自 IBM Cloudant(托管的 CouchDB 兼容服务),它提供了 <code>POST /_api_keys</code> 端点,返回一个 key 和 password。</p> <p>但原生 Apache CouchDB <strong>没有这个端点</strong>。一个常见的误解是把通过 <code>_config/admins/&lt;username&gt;</code> 创建的 server-level admin 当成了&quot;API Key&quot;——它有用户名和密码,需要 Basic Auth,本质上就是一个管理员账号。</p> <h2 id="方案探索"> 方案探索 <a class="heading-link" href="#%e6%96%b9%e6%a1%88%e6%8e%a2%e7%b4%a2"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h2> <h3 id="1-server-level-admin"> 1. Server-level Admin <a class="heading-link" href="#1-server-level-admin"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h3> <p>通过 PUT <code>/_node/_local/_config/admins/sync_obsidian</code> 在 <code>_config</code> 中注册一个同步用账号。</p> <ul> <li>优点:简单,CouchDB <code>_config</code> API 一行命令搞定</li> <li>缺点:<strong>全局管理员权限</strong>,对服务器上所有数据库有完全控制权,权限过宽。只能做数据同步,不应该有删库的权限</li> </ul> <h3 id="2-jwt-认证"> 2. JWT 认证 <a class="heading-link" href="#2-jwt-%e8%ae%a4%e8%af%81"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h3> <p>CouchDB 从 3.x 开始支持 JWT 认证,通过配置 <code>jwt_keys</code> 和 <code>jwt_authentication_handler</code> 启用。</p>