正在使用parse.com框架安全嗎？

Question

我想開始使用Parse.com來構建一個新的應用程序。我在他們的網站上閱讀了很好的文檔，但恐怕有些東西我可能錯過了。

我知道我可以從應用程序添加DB數據。假設我想節省一些「注意」到DB從我的Android應用程序 - 我可以看到我從Android SDK調用它保存到我的數據庫的方法：

String data = txtnote.getText().toString(); // read the note from the view 
ParseObject note = new ParseObject("Notes"); // saves to notes DB 
note.put(USER_NAME_KEY, username); 
note.put("note", data); 
note.saveInBackground(new SaveCallback() 
{ 
    @Override 
    public void done(ParseException e) 
    { 
     // DO SOMETHING 
    } 
}); 

我想知道這個代碼是安全？看起來，如果有人試圖對我的代碼進行反向工程，他實際上可以看到有關我的解析帳戶的一些信息（當我初始化應用程序時，我使用APP_ID和CLIENT_KEY）。如果我將它與使用安裝在某個服務器上的REST API進行比較，那麼我只會將想要存儲的數據與用戶的身份驗證密鑰一起發送？

我錯過了什麼？有沒有辦法在parse.com上使用雲代碼完成一些REST API之王？在保存前不需要進行一些操作？

我會感謝你的回答，如果你能指導我的某個地方，我可以瞭解更多。

Answer 1

• APP_ID和CLIENT_KEY僅用於建立到解析服務器的連接，而不是用於修改數據的授權。 MASTER_KEY是最重要也是最重要的一個，你的apk中不會有那麼簡單，所以沒有人可以對你的apk進行逆向工程。請see this notes on connection between client and server on parse doc site。

• 是的，當然你應該將數據敏感的操作轉移到雲代碼上，並且只在你的客戶/應用程序中不那麼敏感的操作。請使用MASTER_KEY在implementing business logic and security related ops in cloud code上查看此筆記。

• 此外，您應該考慮利用Class level和object level (ACL)限制和訪問權限。在創建數據模型時，請確保仔細配置其訪問級別。