昨天,我尝试从没有经过身份验证的用户的设备执行云功能,并且该功能已执行。这是一个巨大的安全漏洞。
是否可以将云功能的执行限制为仅通过身份验证的用户,也许类似于 requiresAuthentication 的选项?
答案 0 :(得分:1)
为此,您可以按照文档中的说明检查request.user。这不是“安全漏洞”。您甚至可以检查request.master是否要确保仅进行经过masterKey身份验证的呼叫。
默认情况下,您的API允许来自具有有效applicationId / clientKey对的任何SDK的通信。 (和applicationId / clientKey不被视为安全功能,而仅是路由工件)。
有关更多信息,请随时检查文档和api文档:http://parseplatform.org/Parse-SDK-JS/api/v1.11.1/Parse.Cloud.html#.FunctionRequest