不需要token和secret就可以访问admin的资源

昨天通过修改magento的配置文件解决了403拒绝访问的问题,但是发现谁都可以访问api的资源,也就是说身份认证得到的访问令牌和令牌秘钥不用也能访问资源,比如会员接口。是要在系统里面设置权限吗?本人magento新手求指教,万分感谢

你是说没有进行身份认证也能访问系统资源?
你可以直接在webserver端进行IP限制。