我正在开发一个Parse App并且目前正在检查后端安全性。我对安装类权限有点失落。它(默认情况下)是每个人都可读写的。因此,任何用户都可以删除该类的每个对象。
我的问题是:它是否像User类一样受到默认保护?或者我应该为每个新注册添加ACL来推送通知吗?或者更改班级权限?
非常感谢你的帮助,
答案 0 :(得分:2)
Parse默认为User
之外的所有内容的公共读/写访问权限,以简化开发。
根据用例,安全措施会因应用而异,但假设您已将每个Installation
与User
相关联,我强烈建议您应用ACL,以便公开阅读和限制写入特定用户。
如果您尚未将每个Installation
与User
关联起来,这里有一段很棒的云代码可以为您处理。
Parse.Cloud.beforeSave(Parse.Installation, function(request, response) {
Parse.Cloud.useMasterKey();
if (request.user) {
request.object.set('user', request.user);
} else {
request.object.unset('user');
}
response.success();
});
这是一个开始创建ACL的好地方,它提供公共读取和用户特定的写入访问。仅这一步就能大大提高安全性。