我担心有人可以使用我的解析客户端密钥,构建自己的应用程序并连接到Parse,创建用户并执行我的云代码功能。
有没有办法可以将其锁定,以便Parse只接受来自我的网域的请求,例如www.mydomain.com,如果是这样, 我该怎么做?
答案 0 :(得分:2)
不是真的,对标题的任何检查都不可靠,因为它很容易伪造。
相反,您应该为您的请求创建自己的身份验证系统。同样,这可以进行逆向工程,但会更难。该方案可能类似于时间戳和服务器可以验证的时间戳的盐渍哈希(因为它知道盐)。
答案 1 :(得分:1)
您的客户端密钥是公共信息而非秘密,因此不要将其视为一个。此外,您的数据将是公共的或受保护的(使用ACL,CLP或安全云代码)。因此,如果有人获取您的密钥并构建界面,他们将能够访问 您 可能选择留下的任何公共信息。你真的不能拥有只能通过你自己的应用程序获得的公共数据,即使你实施了难以提取的措施。