我正在锁定parse.com数据库权限以释放我的应用。对于Users和Roles表,建议的类级别权限是什么,以便登录和ACL仍然有效,但是人们不能通过其他API直接访问表来造成任何恶作剧?在安全方面,我真的不想通过反复试验,文档似乎没有说什么。
除了通过“管理员”角色访问外,我很想把它们全部锁定。这会干扰登录或注册系统吗?
答案 0 :(得分:1)
我有不同的角色。我使用Cloud Code功能在parse.com上自动授予对我的文档的访问权限。基本上全局用户只能在用户上创建帐户,但无法读取其他用户数据,并且不允许他们在角色上执行CRUD命令。 另请查看该教程和指南: http://blog.parse.com/2014/06/30/parse-security-i-are-you-the-key-master/ https://www.parse.com/docs/data#security
Parse.Cloud.afterSave(Parse.User, function(request, response) {
// master key has all permissions
Parse.Cloud.useMasterKey();
var user = request.user;
if (user.existed()) { return; }
// set ACL so only the user himself can see his own data
user.setACL(new Parse.ACL(user));
user.save();
// add user to role
var roleName = "member";
var roleQuery = new Parse.Query(Parse.Role);
roleQuery.equalTo("name", roleName);
roleQuery.first().then(function(role) {
role.getUsers().add(user);
// save role
return role.save();
});
});