0
是否可以禁用没有主密钥发送给分析的请求?我只想通过自定义后端访问Parse,而不是直接访问用户。在用户类上设置的公共“读”是否意味着任何人都可以阅读该类中的记录?如果是这样,为什么这是默认 - 这不会违反良好的安全做法?禁用对没有主密钥的分析服务器的请求
感谢, 丹尼尔
A
回答
0
公共读取意味着任何人都与你的API密钥可以读取你的解析服务器的用户集合。 Api密钥并不是保护你的应用程序的最佳方法,因为任何人都可以通过“嗅探”你的网络请求来了解它。 为了保护和提供访问权限,您可以使用ACL来保护您的对象,这允许您为特定用户(登录的用户)或特定角色创建访问权限。所以,你有两个选择:
创建主用户 - 每个用户都必须用户名和密码,当你创建你的解析对象确保只有这个特定的用户创建/读取/删除和更新它们。您必须确保在创建一个对象时为该用户创建ACL,以便只有该用户才能修改和读取该对象。你可以在这里阅读更多关于解析服务器的安全性和访问控制列表的:http://docs.parseplatform.org/rest/guide/#security
使用解析云代码 - 在云代码有useMasterKey的一个很好的功能,它提供完全访问解析服务器,以便对任何对象您运行的每个操作(通过JS SDK),您还可以设置useMasterKey至true然后parse-server将忽略所有ACL,并将为您执行查询。 useMasterKey功能只能在云代码上下文中使用,因此很安全。如果您想提供更高级别的安全性,您可以使用主用户(来自第1部分)运行云代码功能,并在云代码内部检查用户会话,因此如果会话为空,则可以返回错误。
你可以在这里阅读更多关于云计算代码:http://docs.parseplatform.org/cloudcode/guide/
这是验证用户会话代码:
if (!request.user || !request.user.get("sessionToken")) {
response.error("only logged in users are allowed to use this service");
return;
}
相关问题
- 1. 没有Model对象的服务器请求主干
- 2. 服务器到服务器请求没有服务帐户
- 3. 解析服务器帐号密钥
- 4. 从solr分析服务请求分词
- 5. API密钥,但没有钥匙的请求仍在运行
- 6. 根据API密钥向其他服务器发送请求
- 7. 没有回应客户端对服务器的请求
- 8. Rails3:有没有服务器端分析?
- 9. 在Ruby自制服务器中解析POST请求的主体
- 10. SSH到私钥服务器没有密钥
- 11. 没有解析应用程序的主密钥
- 12. json请求服务器禁止IP
- 13. API密钥请求
- 14. 移动无密码的私有密钥从服务器向密码的另一个原因请求由GPG
- 15. 分页上的DataTable服务器请求
- 16. JQuery Ajax获取分组解析API服务器的请求
- 17. XMLHttpRequest请求上的分析服务器返回403
- 18. 解析服务器:REST的API密钥认证不起作用
- 19. 对ios服务器的SOAP请求
- 20. Systemd服务请求密码
- 21. 阅读请求主体Node.js服务器
- 22. Python HTTP服务器对POST请求没有响应
- 23. Jetty服务器挂起大对象池,没有任何请求
- 24. 节点JS - 服务器对请求没有反应
- 25. 服务器对POST请求没有响应CURL + PHP
- 26. 使用Fresco替换没有服务器请求的图像
- 27. 有没有办法禁止IP地址访问我的分析服务器?
- 28. Django开发服务器没有从Ajax请求服务错误
- 29. Silverlight的WCF服务对服务请求
- 30. HOWTO禁用密码请求
谢谢,但我仍然对如何不是很清楚锁定解析响应没有主密钥的请求?我正计划运行自己的后端,并通过它访问它。你会推荐在自定义的NodeJS后端上使用云代码吗? – DVassilev
是的,因为它为您节省了大量的安装时间,并且考虑到安全性和更多 –
以及如何在不使用主密钥时禁用对请求的访问? – DVassilev