【发布时间】:2015-10-06 15:26:29
【问题描述】:
我正在开发 Parse 应用程序,目前正在检查后端安全性。我对安装类权限有点迷茫。它(默认情况下)每个人都可读和可写。因此,任何用户都可以删除该类的每个对象。
我的问题是:它是否像 User 类一样默认受到保护?或者我应该为每个新注册添加 ACL 以推送通知?或者更改班级级别的权限?
非常感谢您的帮助,
【问题讨论】:
标签: security parse-platform push-notification acl
【发布时间】:2015-10-06 15:26:29
【问题描述】:
Parse 默认为 User 之外的所有内容提供公共读/写访问权限,以简化开发。
根据用例,安全措施会因应用而异,但假设您已将每个 Installation 关联到 User,我强烈建议您应用一个 ACL,该 ACL 提供公共读取并限制对特定用户。
如果您尚未将每个 Installation 关联到 User,这里有一段很好的云代码可以为您处理。
Parse.Cloud.beforeSave(Parse.Installation, function(request, response) {
Parse.Cloud.useMasterKey();
if (request.user) {
request.object.set('user', request.user);
} else {
request.object.unset('user');
}
response.success();
});
从创建提供公共读取和用户特定写入访问权限的 ACL 开始,这是一个很好的起点。仅这一步就将大大提高安全性。
【讨论】:
-
嗨@Russell,感谢您的回答!我已经在应用程序代码中直接设置了 ACL,就在保存安装之前。