3

我在使用Parse Server(托管在 back4app)方面相当新,并且希望对预先创建的“用户”表进行一些澄清。

我目前正在尝试使用 Parse 开发 Web 应用程序 (Javascript),并且我正在使用 REST API 调用来注册和登录用户。我注意到的一件事是任何人都可以获取我的 REST API 密钥(通过 html 源代码),但最重要的是,任何人都可以发出 GET ' users ' 请求来获取数据库中的所有用户。这些结果包括用户名、电子邮件和 ObjectID。因此,任何人都可以使用 ObjectID 对“会话”表进行另一个 REST 调用并检索 sessionToken(我计划将其用作受保护的 REST API 调用的授权令牌)

我不太确定如何安全地完成此操作。我在网上搜索但没有多大成功。任何帮助或文章将不胜感激。

谢谢

4

1 回答 1

2

通过 CLP(类级别权限)和/或 ACL(在每一行上)进行安全访问。你应该看看这里: https ://parseplatform.github.io/docs/js/guide/#security

请注意:“会话对象只能由用户字段中指定的用户访问。所有会话对象都有一个只能由该用户读取和写入的 ACL。您不能更改此 ACL。这意味着查询会话将只返回对象与当前登录的用户匹配。”

REM :对于网络应用程序,您应该使用可以是“公共”的 Parse“Javascript 密钥”。尝试通过将 REST API 密钥用于“第三方自定义和私有服务器”来保持更“私密”,因为它可以在您的数据库上发出 REST 请求。

于 2017-02-06T17:52:06.443 回答