0
是否可以禁用沒有主密鑰發送給分析的請求?我只想通過自定義後端訪問Parse,而不是直接訪問用戶。在用戶類上設置的公共「讀」是否意味着任何人都可以閱讀該類中的記錄?如果是這樣,爲什麼這是默認 - 這不會違反良好的安全做法?禁用對沒有主密鑰的分析服務器的請求
感謝, 丹尼爾
A
回答
0
公共讀取意味着任何人都與你的API密鑰可以讀取你的解析服務器的用戶集合。 Api密鑰並不是保護你的應用程序的最佳方法,因爲任何人都可以通過「嗅探」你的網絡請求來了解它。 爲了保護和提供訪問權限,您可以使用ACL來保護您的對象,這允許您爲特定用戶(登錄的用戶)或特定角色創建訪問權限。所以,你有兩個選擇:
創建主用戶 - 每個用戶都必須用戶名和密碼,當你創建你的解析對象確保只有這個特定的用戶創建/讀取/刪除和更新它們。您必須確保在創建一個對象時爲該用戶創建ACL,以便只有該用戶才能修改和讀取該對象。你可以在這裏閱讀更多關於解析服務器的安全性和訪問控制列表的:http://docs.parseplatform.org/rest/guide/#security
使用解析雲代碼 - 在雲代碼有useMasterKey的一個很好的功能,它提供完全訪問解析服務器,以便對任何對象您運行的每個操作(通過JS SDK),您還可以設置useMasterKey至true然後parse-server將忽略所有ACL,並將爲您執行查詢。 useMasterKey功能只能在雲代碼上下文中使用,因此很安全。如果您想提供更高級別的安全性,您可以使用主用戶(來自第1部分)運行雲代碼功能,並在雲代碼內部檢查用戶會話,因此如果會話爲空,則可以返回錯誤。
你可以在這裏閱讀更多關於雲計算代碼:http://docs.parseplatform.org/cloudcode/guide/
這是驗證用戶會話代碼:
if (!request.user || !request.user.get("sessionToken")) {
response.error("only logged in users are allowed to use this service");
return;
}
相關問題
- 1. 沒有Model對象的服務器請求主幹
- 2. 服務器到服務器請求沒有服務帳戶
- 3. 解析服務器帳號密鑰
- 4. 從solr分析服務請求分詞
- 5. API密鑰,但沒有鑰匙的請求仍在運行
- 6. 根據API密鑰向其他服務器發送請求
- 7. 沒有迴應客戶端對服務器的請求
- 8. Rails3:有沒有服務器端分析?
- 9. 在Ruby自制服務器中解析POST請求的主體
- 10. SSH到私鑰服務器沒有密鑰
- 11. 沒有解析應用程序的主密鑰
- 12. json請求服務器禁止IP
- 13. API密鑰請求
- 14. 移動無密碼的私有密鑰從服務器向密碼的另一個原因請求由GPG
- 15. 分頁上的DataTable服務器請求
- 16. JQuery Ajax獲取分組解析API服務器的請求
- 17. XMLHttpRequest請求上的分析服務器返回403
- 18. 解析服務器:REST的API密鑰認證不起作用
- 19. 對ios服務器的SOAP請求
- 20. Systemd服務請求密碼
- 21. 閱讀請求主體Node.js服務器
- 22. Python HTTP服務器對POST請求沒有響應
- 23. Jetty服務器掛起大對象池,沒有任何請求
- 24. 節點JS - 服務器對請求沒有反應
- 25. 服務器對POST請求沒有響應CURL + PHP
- 26. 使用Fresco替換沒有服務器請求的圖像
- 27. 有沒有辦法禁止IP地址訪問我的分析服務器?
- 28. Django開發服務器沒有從Ajax請求服務錯誤
- 29. Silverlight的WCF服務對服務請求
- 30. HOWTO禁用密碼請求
謝謝,但我仍然對如何不是很清楚鎖定解析響應沒有主密鑰的請求?我正計劃運行自己的後端,並通過它訪問它。你會推薦在自定義的NodeJS後端上使用雲代碼嗎? – DVassilev
是的,因爲它爲您節省了大量的安裝時間,並且考慮到安全性和更多 –
以及如何在不使用主密鑰時禁用對請求的訪問? – DVassilev