解析云代码——安全地将会话令牌传递给 Node.js 服务器

Question

使用自托管 Node.js 服务器从 Parse Cloud Code 函数访问用户会话令牌的安全方法是什么？

我的云代码功能如下：

 PFCloud.callFunctionInBackground("checkUser", withParameters: nil) {
            (response: AnyObject?, error: NSError?) -> Void in
            let responseString = response as? String
            print(responseString)
 }

我希望能够做这样的事情：

Parse.Cloud.define("checkUser", function(request, response) {
    var sessionToken = request.user.getSessionToken();
    response.success(sessionToken);
});

但是我的 request.user 返回 nil。

将会话令牌作为参数传递是否安全

let sessionToken = currentUser!.sessionToken

        PFCloud.callFunctionInBackground("checkUser", withParameters: ["sessionToken": sessionToken!]) {
            (response: AnyObject?, error: NSError?) -> Void in
            let responseString = response as? String
            print(responseString)
        }

编辑

我在这里找到了一些有用的东西：https://parse.com/tutorials/session-migration-tutorial

它表明我应该能够将其作为请求的标头：

curl -X POST \
  -H "X-Parse-Application-Id: <YOUR_APPLICATION_ID>" \
  -H "X-Parse-REST-API-Key: <YOUR_REST_API_KEY>" \
  -H "X-Parse-Session-Token: <CURRENT_LEGACY_SESSION_TOKEN>" \
  https://api.parse.com/1/upgradeToRevocableSession

但我不确定这些标头在 swift 后端中的设置位置。

Answer 1

在问这个问题之前，我没有意识到最终，如果您想继续使用 Parse 作为您的主服务器并安全地执行此操作，您需要将 HTTPS 添加到您计划使用的任何托管站点.

我选择了 AWS Elastic Beanstalk，设置 HTTPS 并非易事。

我在这里概述了一种将 HTTPS 添加到解析服务器的通用方法： https://serverfault.com/questions/786247/steps-for-setting-up-https-using-elastic-beanstalk-with-a-load-balancer?noredirect=1#comment993545_786247

这意味着 AWS 提供的关于此事的文档不够清晰。 http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html

HTTPS 是传递参数和会话令牌的唯一安全方式，不会有通过纯文本发送的风险。