出于安全原因,我们计划禁用对类的所有写访问权限。客户端应用程序(android和IOS sdks)只能对Parse数据(类)进行只读访问
存储在解析服务器中的数据将仅由云功能修改。云功能将调用
Parse.Cloud.useMasterKey();
我们已经提出了这个解决方案,因为几乎不可能隐藏解析应用程序ID并从攻击者/黑客中解析客户端密钥。
这是一个很好的解决方案吗?有什么缺点吗?是" Parse.Cloud.useMasterKey()"方法有性能影响吗?
谢谢...
答案 0 :(得分:2)
这是非常标准的做法,您可以在Cloud Functions中实现自己的安全性并使用主密钥。
理论上,使用主密钥可能更有效,因为当使用主密钥时,Parse服务器根本不必处理角色/用户/ ACL。当然,您需要与安全逻辑的任何额外检查进行平衡。