parse.com:角色和用户表的推荐权限

时间:2014-11-11 12:04:59

标签: permissions parse-platform roles

我正在锁定parse.com数据库权限以释放我的应用。对于Users和Roles表,建议的类级别权限是什么,以便登录和ACL仍然有效,但是人们不能通过其他API直接访问表来造成任何恶作剧?在安全方面,我真的不想通过反复试验,文档似乎没有说什么。

除了通过“管理员”角色访问外,我很想把它们全部锁定。这会干扰登录或注册系统吗?

1 个答案:

答案 0 :(得分:1)

我有不同的角色。我使用Cloud Code功能在parse.com上自动授予对我的文档的访问权限。基本上全局用户只能在用户上创建帐户,但无法读取其他用户数据,并且不允许他们在角色上执行CRUD命令。 另请查看该教程和指南: http://blog.parse.com/2014/06/30/parse-security-i-are-you-the-key-master/ https://www.parse.com/docs/data#security

Parse.Cloud.afterSave(Parse.User, function(request, response) {
    // master key has all permissions
    Parse.Cloud.useMasterKey();
    var user = request.user;
    if (user.existed()) { return; }
    // set ACL so only the user himself can see his own data
    user.setACL(new Parse.ACL(user));
    user.save();
    // add user to role
    var roleName = "member";
    var roleQuery = new Parse.Query(Parse.Role);
    roleQuery.equalTo("name", roleName);
    roleQuery.first().then(function(role) {
    role.getUsers().add(user);
    // save role
    return role.save();
    });
});