0
我正在通過Anypic tutorial和數據模型部分,因爲我想構建一個類似的應用程序。我的問題是爲什麼我不能刪除權限限制並讓圖像類保存喜歡(int)和註釋(字符串數組),並且不允許應用的用戶編輯其他用戶圖像。這種方法的缺點是什麼?Anypic示例項目中的類合併
謝謝
A
回答
1
權限限制是爲了安全。
通過從Photo類別中分離likes,它可以防止其他用戶修改他人的照片。解析ACL(訪問控制列表)的工作方式是限制讀/寫訪問。
讓我們考慮一下likes包含在Photo類中的場景。如果一個用戶想要喜歡別人的照片,他們將不得不直接修改用戶的照片,這需要ACL中的寫入權限。
沒什麼大不了的,對嗎?錯誤。有惡意的人可以將他們自己的REST API調用構建到您的應用程序,並在他人的照片上執行他們想要的任何操作。我可以遠程修改或刪除您的照片,根據您的其他應用程序欺騙更多喜歡,以及大量其他漏洞利用。
如果您仍然希望在Photo類中保留likes,但沒有公共寫入權限,那麼無論何時有人想要照片,您都必須使用主密鑰執行雲代碼寫入。您還需要事先做額外的驗證,以便其他人無法欺騙此請求。
解析ACL很棒,因爲它們非常簡單並且可以快速地根據需要在應用程序中劃分讀/寫訪問權限。
相關問題
- 1. Java中的示例併發項目
- 2. 合併項目
- 3. 組合框Hightlight項目並突出顯示瀏覽的項目
- 4. 示例項目/ Android中
- 5. 在nanoc中合併項目
- 6. 在JSON中合併項目
- 7. neo4j.Asp.Net.Identity示例項目
- 8. SQLAlchemy示例項目
- 9. wcf示例項目
- 10. 比較多個MySQL項目並顯示類似的項目
- 11. MySql合併行並在結果表中顯示項目計數?
- 12. 顯示項目的實例
- 13. OPENGL上的示例項目
- 14. ANTLR項目的build.xml示例?
- 15. 無法使用在我的項目中張貼的示例類
- 16. 合併分類中的合併測試案例
- 17. erlide中的Erlang示例項目(eclipse)
- 18. codeplex.com中sharepoint 2010的示例項目
- 19. 如何合併列表中的項目
- 20. 合併列表中的項目
- 21. 如何合併flatMap中的項目MapIterable
- 22. 合併通道中的項目
- 23. 合併列表中的重疊項目
- 24. 合併Like ArrayList中的項目
- 25. 如何更新(合併)當表中存在類似的項目
- 26. 顯示模板中集合的項目
- 27. 將主項目上的項目配置合併到Develop中
- 28. 將不同的Maven Web項目合併到一個項目中
- 29. 將本地版本的Xcode項目合併到「主」項目中
- 30. 結合列表中的類似項目
非常感謝。我沒有想到涉及允許任何人訪問課程的安全問題。 –