我正在运行开源解析服务器并且已经很好地保护了我的数据库。但是,我的应用程序需要管理员用户,他们需要能够读写几乎所有数据。这是一个安全问题,我想用双因素身份验证解决,但我对其他想法(IP白名单,cookie或其他)持开放态度。
在我的客户端应用程序上进行此设置非常简单,我已经做到了,但我希望更加安全,以便恶意代理商拥有我的应用程序ID(基本上是公开的)并以某种方式获取管理员的凭据,他们仍然无法获得访问权。
我很困惑如何使用现在的解析服务器来实现这一目标。用户登录没有Cloud Code触发器,因此就我所知,我无法在Parse服务器本身强制执行任何MFA。
我看到的一种可能性是在各种Cloud Code例程中使用检查一些MFA令牌,例如beforeSave,beforeDelete和beforeFind,拒绝访问缺少正确MFA的管理员用户。这会完全阻止虚假管理员读取或写入所有数据吗?
上述选项并不能阻止攻击者试图暴力破解MFA(假设它是一个6位数的代码)。我也没有看到任何限制攻击者使用App ID和管理员密码进行登录尝试的方法。这里有什么想法吗?
感谢您的任何提示!
答案 0 :(得分:0)
我非常喜欢添加2FA和一个小脚本来管理仪表板上的用户帐户。 您可以在https://github.com/parse-community/parse-dashboard上打开功能请求吗?
此外,对于使用身份验证,您可以使用自定义身份验证适配器来验证用户名,电子邮件和2FA令牌