尝试构建一个将Parse.com作为后端的Android和Web客户端。必须首先对用户进行身份验证才能登录应用程序。如果有人拿到了应用程序密钥,客户端密钥等,他可以访问应用程序而无需使用Rest调用进行身份验证。如何避免限制Parse Query仅在用户会话中返回结果?寻找安全措施。
答案 0 :(得分:2)
所有解析应用程序和客户端密钥(主密钥除外)都被视为公共信息而非秘密。 Parse文档中明确提到了这一点。没有办法隐藏它们,它们将成为您的应用程序/网站的一部分,任何用户都可以轻松检索它们。这意味着任何人都可以检索具有公共读访问权限的类中的任何数据。
Parse允许您通过类级别权限(CLP)和访问控制列表(ACL)来控制数据读取权限仅。如果您认为这些解决方案无法为您提供实施的安全措施,则必须完全禁用对数据的公共读取访问权限,并实施自己的Cloud Functions以从服务器检索数据。这样,您可以在返回任何数据之前测试用户凭据,权限等。