限制用戶更新某些字段，但允許後端編輯它們

Question

我在用戶模型中存儲了永遠不應該由用戶自己編輯的一些字段，而應該僅通過後端進行更新。所以我做beforeSave驗證：

// import all models 
var Models = require('cloud/models/index'); 

// Models.User is a subclass of Parse.User 
Parse.Cloud.beforeSave(Models.User, function (request, response) { 
    var user = request.object; 

    // prevent numberOfApples from being modified on clients 
    if(user.existed()) { 
     if(user.dirty('numberOfApples')) { 
      response.error('User is not allowed to modify numberOfApples.'); 
      return; 
     } 
    } 

    response.success(); 
}); 

所以我檢查模式之前就已經存在，所以這個東西不註冊時觸發，這是非常重要的。但後來我嘗試從Parse儀表板手動更新該字段，並引發錯誤。我如何確保只有用戶不允許編輯此字段，而儀表板或後端可以這樣做（顯然，使用主密鑰時）。

Answer 1

原來Request.master是這裏的路。我允許在使用主密鑰時更改鎖定的字段。

例子：

Parse.Cloud.beforeSave(Models.User, function (request, response) { 
    var user = request.object; 

    // prevent system managed fields from being modified on clients 
    if(user.existed()) { 
     // we can change those fields when using master key. 
     if(!request.master) { 
      var privateFields = [ 'gold', 'skillLevel', 'weaponCount' ]; 
      for(var i = 0, c = privateFields.length; i < c; i++) { 
       var field = privateFields[i]; 

       if(user.dirty(field)) { 
        response.error('User is not allowed to modify ' + field + '.'); 
        return; 
       } 
      } 
     } 
    } 

    response.success(); 
}); 

Answer 2

這裏有兩個因素。首先，看看您擁有的每個對象的訪問控制（ACL）。這些通常用於確定權限。但是，由於您具有「beforeSave」功能，因此也會考慮到這一點。即使在儀表板或後端進行的更改也會觸發beforeSave函數。

我的建議是從用戶表中刪除用戶不應該更改的屬性，並將它們存儲在自定義表中，並將指針返回到它們所屬的用戶對象。

Answer 3

我認爲你需要創建一個私有字段一個新的類。