我正在学习parse.com来实现小型html5客户端。云服务提供了开箱即用的方法来注册用户,创建条目等。
要么我错过了一两件事(我肯定会这样做),要么暴露app& amp;客户端的api密钥。我曾经使用NodeJS中继来代理对云服务的调用,该中继实现了"最大用户操作/ s"或" api滥用"喜欢"防止用户拨打2000次"注册用户"功能
这种安全性是否在parse.com服务中的任何地方都实现了,我错过了......您对这些api的良好使用的想法是什么?向公众开放?
谢谢,
答案 0 :(得分:3)
首先,您需要假设任何用户都可以获取您的应用程序ID和客户端密钥。这在解析文档的Security部分中提到。您应该将业务逻辑隐藏在云代码中,这样您就可以实现客户看不到的检查/安全性。
另一件事是,一旦他们知道您的应用程序ID和客户端密钥,就无法阻止用户访问您的API。 将影响解析设置的API限制。如果您有恶意用户,他们可以“拒绝服务”您的应用程序,除了更改密钥之外,您无能为力。根据您设置的所有内容,这可能会影响客户。
一种可能的方法是(如你所提到的)在客户端和解析之间放置一个瘦代理。您可以在代理中隐藏应用程序ID和客户端密钥,并在那里执行一些简单的检查以停止拒绝服务。