1
openroc 2014-01-09 17:33:12 +08:00
最近也在研究这个。 先mark一下。
|
2
openroc 2014-01-10 11:23:14 +08:00
看了一下parse的文档,根据他们介绍的security,
App ID和App Key是不保证安全的,而且要求,client和server之间的通信必须是https。接下来主要class level的控制,以及object level的控制。才能保护到你想保护的数据。 因此,即便有了ID和key,只是开放的数据,对写爬虫,或者其他第3获取你的内容的容易了,可以直接通过api获取数据。你通过class level和object level的限制的数据,还是不能轻易被获取的。 由于user login,Parse返回了session token。 https://parse.com/docs/rest#users |
3
liubin OP @openroc 是,他们都有针对类和对象的Class设置。但是还是不能防止别人使用我的id和key,比如写入垃圾数据等。
|
4
openroc 2014-01-10 20:20:30 +08:00
put、post都限制用户了,不是你的用户肯定不能写入,如果是你的用户,就应该写入。:)
因此,id和key只是个标识,关键安全机制在class level和object level的权限控制。 |
5
openroc 2014-01-10 20:21:18 +08:00
btw,如果你的用户写入垃圾数据,就和v2上,发垃圾贴一样,该运维的处理。
|
6
sun391 2014-01-10 20:23:40 +08:00 via iPhone
比较担心的是恶意调用api提交垃圾数据,或者是耗你的api调用次数。
Js毕竟是明文的,没办法 Parse主要的应用还是Native APP |
7
sobigfish 2014-01-12 17:27:59 +08:00
实在担心就弄个主机包装一下?
|
8
hjiang 2014-04-08 00:13:26 +08:00
要做到安全,就需要在写程序的时候就假设 app id 和 app key 都是公开的。通过 ACL 来控制权限。 AVOS Cloud (http://avoscloud.com) 和 Parse 都是使用同样的机制。
|