在Apigee上設置權限BAAS

Question

在Apigee BAAS實體中設置對象權限的最佳方式是什麼？用戶可以編輯它們創建的內容並且其他人可以讀取它們？管理員也可以編輯所有內容。

我在這裏問了一個類似的問題Securing apigee baas這是圍繞確保更新權限所需的應用程序ID /祕密，但我想知道是否有任何有關做這種事情的最佳做法移動應用程序。

我最初的想法仍然是服務標註（不確定在前一個問題中提到的Apigee-127與直接向BAAS的服務標註有什麼不同，就我而言，127看起來像我只是寫我的apis在Node.js中，而不是使用邊緣控制檯），但是我不知道在確保特定用戶創建的特定集合中的所有實體方面是否有更簡單的方法？我想我可以添加一個按列創建的列，我可以從應用程序的角度來檢查，但這不會阻止某人直接潛在地擊中BAAS並檢索此信息，除非在需要用戶訪問令牌的實體級別設置權限。

是否有可能以這樣的方式保護BAAS，使得只有來自Edge的呼叫才能訪問BAAS網址？

Answer 1

（聲明：我沒有嘗試過這個自己，但這裏有一個建議。）

API巴斯路徑段自動設置到當前已驗證用戶的UUID當使用$用戶。例如，如果您向具有UUID bd397ea1-a71c-3249-8a4c-62fd53c78ce7的用戶發送帶有有效訪問令牌的請求，則路徑/ users/$ {user}將被解釋爲/ users/bd397ea1-a71c-3249- 8a4c-62fd53c78ce7，僅將權限分配給該用戶實體。

通過這種方式，通過您的應用程序，您可以爲每個用戶設置權限，並在您的應用程序創建對象後立即爲每個對象設置權限。假設你有用戶認證，當然。

Ref：http://apigee.com/docs/api-baas/content/using-permissions