Parse Server User Table Безопасность
Я довольно новичок в использовании Parse Server (размещен в back4app) и хотел бы получить некоторые пояснения к заранее созданной таблице ' users '.
В настоящее время я пытаюсь разработать веб-приложение (Javascript) с использованием Parse, и я использую вызовы REST API для регистрации и входа в систему пользователей. Одна вещь, которую я заметил, заключается в том, что любой может получить мой ключ REST API (через источник html), но самое главное, любой может сделать запрос GET ' users ', чтобы получить всех пользователей в БД. Эти результаты включают имя пользователя, адрес электронной почты и ObjectID. В результате любой может сделать еще один вызов REST для таблицы 'session' с ObjectID и получить sessionToken (который я планировал использовать в качестве токена авторизации для защищенных вызовов API REST)
Я не совсем уверен, как это можно безопасно выполнить. У меня есть поиск в Интернете, но без особого успеха. Любая помощь или статьи будут с благодарностью.
Спасибо
1 ответ
Безопасный доступ осуществляется через CLP (разрешение уровня класса) и / или ACL (в каждой строке). Вы должны посмотреть здесь: https://parseplatform.github.io/docs/js/guide/
Обратите внимание: "Доступ к объектам сеанса возможен только пользователю, указанному в поле пользователя. Все объекты сеанса имеют ACL, который может читать и записывать только этот пользователь. Вы не можете изменить этот список ACL. Это означает, что запросы к сеансам будут возвращать только объекты которые соответствуют текущему вошедшему в систему пользователю. "
REM: для веб-приложения вы должны использовать Parse "Javascript Key", который может быть "открытым". Постарайтесь сделать ключ REST API более "закрытым", используя его только для "стороннего пользовательского и частного сервера", который может сделать запрос REST для вашей базы данных.