如何设置Parse Installation Class安全性(class级权限and/orACL)?
How to set Parse Installation Class security (class-level permissions and/or ACL)?
我正在开发一个 Parse 应用程序,目前正在检查后端安全性。我对安装 Class 权限有点迷茫。它(默认情况下)对每个人都是可读和可写的。因此,任何用户都可以删除 class.
的每个对象
我的问题是:它是否像用户 class 一样默认受到保护?或者我应该为每个新注册添加 ACL 以推送通知吗?或者更改 class 级别权限?
非常感谢您的帮助,
Parse 默认为 public read/write 访问 User 之外的所有内容以简化开发。
安全措施因应用而异,具体取决于用例,但假设您已将每个 Installation 关联到 User,我强烈建议应用一个 ACL,它提供 public 读取并限制对特定用户的写入。
如果您还没有将每个 Installation 关联到 User,这里有一段很好的云代码可以为您处理。
Parse.Cloud.beforeSave(Parse.Installation, function(request, response) {
Parse.Cloud.useMasterKey();
if (request.user) {
request.object.set('user', request.user);
} else {
request.object.unset('user');
}
response.success();
});
从创建提供 public 读取和特定于用户的写入访问权限的 ACL 开始,这是一个很好的起点。仅此一步就可以大大提高安全性。
我正在开发一个 Parse 应用程序,目前正在检查后端安全性。我对安装 Class 权限有点迷茫。它(默认情况下)对每个人都是可读和可写的。因此,任何用户都可以删除 class.
的每个对象我的问题是:它是否像用户 class 一样默认受到保护?或者我应该为每个新注册添加 ACL 以推送通知吗?或者更改 class 级别权限?
非常感谢您的帮助,
Parse 默认为 public read/write 访问 User 之外的所有内容以简化开发。
安全措施因应用而异,具体取决于用例,但假设您已将每个 Installation 关联到 User,我强烈建议应用一个 ACL,它提供 public 读取并限制对特定用户的写入。
如果您还没有将每个 Installation 关联到 User,这里有一段很好的云代码可以为您处理。
Parse.Cloud.beforeSave(Parse.Installation, function(request, response) {
Parse.Cloud.useMasterKey();
if (request.user) {
request.object.set('user', request.user);
} else {
request.object.unset('user');
}
response.success();
});
从创建提供 public 读取和特定于用户的写入访问权限的 ACL 开始,这是一个很好的起点。仅此一步就可以大大提高安全性。