Parse.com - 如何保护文件对象访问?
Parse.com - how to secure file object access?
我在 parse.com 中创建了一个 class 并添加了一个类型的列:文件
上传了一个文件 'myfile' 到它。
更改了 class 的安全性,因此根本不允许 GET。
Client Permissions: GET (disabled)
但是我可以像这样直接从 URL 访问文件:
http://files.parsetfss.com/xxxxxxx-xxx-xxx-xx-xxxxx-xxxx-xx-xxx-xx-xxxx-myfile
那么访问文件对象是不是不安全?
还是我错过了任何配置?
您保护的是在 GET classes/YourClassname 下获得的任何东西,URL 本身在 ACL 的意义上是不安全的。但是,只要除了您的应用程序之外没有其他人知道该文件的直接 URL,它们就不会受到未经授权的访问。
此外,无法直接访问为您的应用程序存储的所有文件的列表。这意味着,作为客户端,如果您有权访问与之关联的对象,则只能看到 ParseFile 的 URL。
我在 parse.com 中创建了一个 class 并添加了一个类型的列:文件
上传了一个文件 'myfile' 到它。
更改了 class 的安全性,因此根本不允许 GET。
Client Permissions: GET (disabled)
但是我可以像这样直接从 URL 访问文件:
http://files.parsetfss.com/xxxxxxx-xxx-xxx-xx-xxxxx-xxxx-xx-xxx-xx-xxxx-myfile
那么访问文件对象是不是不安全? 还是我错过了任何配置?
您保护的是在 GET classes/YourClassname 下获得的任何东西,URL 本身在 ACL 的意义上是不安全的。但是,只要除了您的应用程序之外没有其他人知道该文件的直接 URL,它们就不会受到未经授权的访问。
此外,无法直接访问为您的应用程序存储的所有文件的列表。这意味着,作为客户端,如果您有权访问与之关联的对象,则只能看到 ParseFile 的 URL。