0

为了从网络访问我的 kinvey 帐户,我输入了 config.js 文件,如下所示:

var config = {

kinvey : {

    app : {

        key : 'kid_123123123',

        secret : '66a1111f62233445502833'

    }

}
};

并在每个 js 文件中初始化它,如下所示:

var promise = Kinvey.init({
    appKey    : config.kinvey.app.key,
    appSecret : config.kinvey.app.secret
});

如果有人得到我的密钥和秘密,那么他将能够从我的 kinvey 数据库中进行 CRUD。有什么解决办法吗?

干杯,马克天

4

1 回答 1

0

这很好,这就是 Kinvey 和许多其他服务/库的运作方式。您可以(并且必须)将您的 appKey 和 secret 放入您的初始化中,但是您不应该也不应该放入您的客户端代码的是您的master secret。这就是允许任何人在数据库上执行任何事务的原因。

只要您正确设置权限,您就不需要担心安全性,这就是它们存在的原因。用户可以创建自己的帐户并对数据库执行事务,但仅限于您指定的权限。这就是为什么您几乎不想将集合权限设置为完全开放的原因。默认情况下,集合权限设置为“共享”——这意味着用户可以对自己的记录进行写入,而只能对其他用户记录进行读取。

于 2014-11-20T06:54:22.257 回答