我想通过我的Parse服务器为我的用户提供Dropbox访问令牌。 对于不知道的人,Dropbox访问令牌是一个提供对Dropbox帐户文件的直接访问的字符串,它应该是秘密的,因为如果有人发现它,他可以删除所有文件。
我的服务器应该存储许多访问令牌,它应该为用户提供正确的令牌,但问题是因为匿名登录我害怕如果有人知道解析服务器密钥,他就可以获得所有秘密dropbox access tokens。
首先,我出于安全原因在服务器中提供访问令牌,而不是硬编码来保护它。 但是如果我把解析密钥硬编码会有什么不同呢?
有办法解决这个问题吗?
感谢。
答案 0 :(得分:0)
是的,你是对的。如果有人知道您的 ApiKey ,他可以毫无问题地查询您的解析服务器,除非您使用 ACL
ACL是访问控制列表,允许您(在应用程序级别上)决定哪些用户/角色可以读取或写入一个或多个解析对象或解析用户。在运行时,Parse将检查登录用户是否具有读取或写入对象的权限,并且只有在具有访问权限的情况下才会将结果返回给客户端。
所以我建议您使用ACL来保护您的用户/令牌,如果您只想保护访问令牌,那么我建议您创建一个单独的类来存储用户访问令牌,并在此课程中您需要仅为相关用户创建ACL。
您可以在此处详细了解ACL: