我可能在parse.com的安全文档中遗漏了一些内容,但我不知道如何限制谁可以注册该应用程序?
我正在使用解析作为后端制作应用程序(html / javascript)。数据将在一组人员之间共享。
是什么阻止某人使用注册javascript code创建自己的帐户并使用正确的角色,然后授予他们访问解析数据库的权限?
答案 0 :(得分:1)
要求仅允许特定团队的成员创建身份(注册)意味着您拥有外部手段在第一个团队成员中建立某人的身份的地方。
如何使用解析的通用(我认为相当通用)完成此操作用户模型依赖于那些外部手段。但是解析的效果应该是,如果有人证明他们是#34;在团队中,则将他们的用户分配到onTheTeam角色。然后,通过类级别权限或ACL,为作为该角色成员的用户提供更多权限,为不是用户提供更少/无权限。
以下是关于为外部定义的团队建立团队成员资格的一些想法:
如果可以通过api建立团队成员身份到另一个系统:在beforeSave的{{1}}挂钩上,呼叫该api并将其分配给" onTheTeam&#34 ;角色如果成功,否则会因错误而失败。
如果你了解团队成员'电子邮件地址:解析后向新注册人发送电子邮件验证质询。用户保存后,将其分配给" onTheTeam"角色当且仅当他们的电子邮件在列表中并且他们的Parse.User属性为真时。 (我已经成功地将此方法用于生产中的应用程序。)
如果团队只是少数几个朋友:通过外部渠道传递给每个人一个秘密。让您的注册收集名称,密码和密码,并将其分配给新用户。在emailVerified的{{1}}挂钩中验证机密。如果有效,请将用户添加到" onTheTeam"角色,否则阻止保存并出错。 (你用来传递秘密的外部渠道取决于你的应用程序的安全性......例如,对于一个高度安全的应用程序,要求每个团队成员在特定的公园长椅上与你见面,穿上一顶软呢帽,然后把这个秘密传递给你 - 报纸)。