我在javascript中设置解析框架。我注意到我需要打电话
Parse.initialize(“app”,“secret”)
由于这是在页面来源中,任何人都不能接受此操作并对我的帐户进行调用吗?
是否有更安全的方式来存储此信息?
答案 0 :(得分:2)
根据Parse Security Guide您的 JavaScript密钥并非保密:
当应用程序首次连接到Parse时,它会使用应用程序ID和客户端密钥(或REST密钥,或.NET密钥或JavaScript密钥,根据您正在使用的平台)标识自己。这些并不是秘密,它们本身并不能保护应用程序。这些密钥作为您应用的一部分提供,任何人都可以从您的设备反编译您的应用或代理网络流量,以查找您的客户端密钥。使用JavaScript可以更轻松地利用此漏洞 - 人们可以简单地查看源代码"在浏览器中立即找到您的客户端密钥。
所以,是的,找到钥匙的人都可以拨打电话。 但是你可以(并且应该)限制这样的人可以做的事情。
使用Class-Level Permissions限制个别类可以执行的操作。
使用Object-Level Permissions限制了对所选对象的处理方式。
另请参阅Roles和Roles Hierarchy,以便同时为多个用户组设置权限。
例如,您可以限制仅限特定用户的访问权限。仅当其中一个用户登录时,才会授予访问权限。任何其他"黑客"可以尝试使用您的密钥,但请求将被Parse拒绝。