TandoorRecipes项目API访问令牌获取与使用指南

核心概念解析

在TandoorRecipes项目中，API访问令牌是进行程序化操作的关键凭证。系统提供了两种主要的认证机制：

1. 长期令牌：适合需要持续访问的场景
2. 会话令牌：适合临时性操作

获取API令牌的正确方式

通过Web界面获取

1. 登录TandoorRecipes系统
2. 访问/settings/路径（或通过导航菜单进入设置页面）
3. 在API设置区域生成访问令牌

通过API端点获取

系统提供了专门的API端点用于令牌获取，但需要注意：

• 使用POST方法提交请求
• 必须包含有效的用户名和密码凭证
• 请求体需采用JSON格式

常见问题解决方案

405 Method Not Allowed错误

当使用GET方法请求令牌端点时会触发此错误。正确的做法是：

curl -X POST \
  -H "Content-Type: application/json" \
  -d '{"username":"your_username","password":"your_password"}' \
  https://your-tandoor-instance/api-token-auth

403 Forbidden错误

这通常表示凭证缺失或无效。检查：

1. 请求头是否包含正确的Content-Type
2. 用户名密码是否正确
3. 是否使用了HTTPS（生产环境强制要求）

最佳实践建议

1. 令牌存储：将获取的令牌保存在安全的位置，避免硬编码在代码中
2. 权限控制：遵循最小权限原则，仅授予必要的API权限
3. 令牌轮换：定期更新令牌以提高安全性
4. 错误处理：实现完善的错误处理机制，特别是对401/403状态码的处理

高级应用场景

对于需要与第三方服务集成的场景（如KptnCook同步），建议：

1. 创建专用API用户
2. 限制该用户的权限范围
3. 实现增量同步机制，减少API调用次数
4. 考虑使用Webhook进行实时更新通知

通过正确理解和使用TandoorRecipes的API认证机制，开发者可以构建强大的集成解决方案，同时确保系统的安全性和稳定性。