解析服務器用戶表安全

Question

我是相當新的使用解析服務器（託管在back4app），並希望得到一些澄清預先創建的'用戶'表。

我目前正在嘗試使用Parse開發Web應用程序（Javascript），並且我正在使用REST API調用註冊和登錄用戶。我注意到的一件事是任何人都可以獲得我的REST API密鑰（通過html源代碼），但最重要的是任何人都可以讓GET'用戶'請求獲取數據庫中的所有用戶。這些結果包括用戶名，電子郵件和ObjectID。因此，任何人都可以使用ObjectID對'會話'會話表進行另一個REST調用，並檢索sessionToken（我打算將其用作受保護的REST API調用的授權令牌）

我不是很確定這可以安全地完成。我在網上搜索，但沒有太多成功。任何幫助或文章將不勝感激。

謝謝

Answer 1

安全訪問時throuh的 CLP（類級別的許可權）和/或ACL（每每行）。 你應該看看這裏： https://parseplatform.github.io/docs/js/guide/#security

需要注意的是：「會話對象只能通過在用戶字段中指定的用戶可以訪問所有的會話對象都有閱讀和用戶寫的ACL只有你。無法更改此ACL，這意味着查詢會話將只返回匹配當前登錄用戶的對象。「

REM：對於Web應用程序，您應該使用可以「公開」的解析「Javascript關鍵字」。儘量將REST API密鑰保留爲「私有」，即僅在「第三方自定義和專用服務器」上使用，才能在數據庫上發出REST請求。