我正在開發一個應用程序使用Parse.com BaaS。除了定期的安全檢查之外,我的理解/理念是安全的一部分是假設某人已經入侵,然後限制他們可以訪問/刪除/混亂的數量。我可以按用戶爲基礎對Parse.com進行費率限制嗎?
我想這樣做的一種方法是對某些API請求具有每用戶速率限制。我可以想象一種天真的方法,我在哪裏保存最近訪問過的列表以及何時訪問過的列表,並在允許該類型的請求通過之前檢查該列表(我在之前爲各種自定義類保存思路)。
是否有更好的,理想的內置方式?
正如在解析文檔here給出,它們支持兩個級別的權限,Class level(通過數據瀏覽器)& Object level(使用ACL)的
配置類級別的權限
解析讓您指定每個類允許哪些操作。這個 可以讓你限制客戶端訪問或修改你的類的方式。要更改這些設置,請轉到數據瀏覽器,選擇類別 ,打開「更多」下拉列表,然後單擊「設置權限」項目。
級別級別權限是爲特定用戶或角色授予對某個類的訪問權限的手動方式。
就你而言,你可能需要基於訪問控制列表(ACL)的對象級權限。
訪問控制列表
的ACL背後的想法是,每個對象都有用戶和角色一起列表什麼權限的用戶或 角色了。用戶需要讀取權限(或必須屬於 具有讀取權限的角色)才能檢索對象的數據,並且用戶需要寫入權限(或必須屬於具有寫入 權限的角色)才能更新或刪除該對象
創建一個新角色並向可以訪問的角色添加用戶列表。然後在其他對象上設置一個ACL。
{ "role:YourRoleName":{"read":true, "write" : true}}
您現在可以動態添加或刪除該角色中的用戶,而無需更新單個對象。
儘管Parse.com沒有配置這個選項,但他們仍然監控他們跟蹤可疑活動並嘗試進行DDoS攻擊。但不確定這是什麼延伸是可能的,因爲這個具體問題是情景明智的相關/不相關。 您沒有選擇執行用戶級別限制,但他們會報告發現的任何可疑活動,例如來自同一設備的多餘訪問。
@buildsucceeded,請接受爲正確的,如果你覺得這有幫助。 –
感謝您的回答 - 編輯我的問題,明確表示我在詢問速度限制,而不是ACL。在我看來,這很清楚,但回想起來,並不是這個問題。 – buildsucceeded
啊,錯過了。我不認爲有任何內置的速率限制支持。 – satyadeepk