也许有人可以通过确认/驳斥以下情况来帮助我更好地理解Parse的ACL机制:
如果这是正确的,我认为这是一个安全问题。有没有办法阻止客户端更改对象的ACL,以便我可以完全在Cloud Code中管理ACL?
编辑:正如Mazel Tov所指出的,处理此问题的一种方法是禁止任何直接客户端访问,而只使用Cloud Code(使用主密钥覆盖)来访问数据。我不认为这是一个可行的解决方案,因为这种方法放弃了Parse的大部分好处。 ACL是控制访问权限的一种很好的方法,但是 - 至少在某些使用环境中 - 让客户端能够覆盖这些设置似乎很危险。
所以对我来说问题仍然存在:如果Parse的ACL在理论上允许任何具有对象的写访问权限的用户操纵所有其他用户的访问权限,那么没有其他人将此视为安全问题吗?
答案 0 :(得分:0)
对于处于类似情况的其他人:我没有找到解决此问题的方法(至少对我来说这是一个问题,而不是“机会”),所以我最终只使用ACL来控制读访问(所有写入访问是私有的),并使用 lot 的Cloud Code函数运行我自己的服务器端权限系统,以进行各种写访问。