ParseHeroku にサーバーをデプロイします。Application IDしかし、デモ アプリを作成するときに、Charles を使用してネットワークをキャプチャすると、とが表示されることがわかりますClient ID。その情報を使用して、他の開発者が私のクラスのデータにアクセスしたり、ジャンク データを書き込んだり、ジャンク データを使用してジャンク クラスを作成したりできます...どうすればそれを防ぐことができますか?
Cloud Code でbeforeSaveを実装することで、ジャンク データの書き込みやデータの削除を防ぐことができます。beforeDeleteしかし、データを読み取るとき、およびジャンク データを使用してジャンク クラスを作成するときはどうなるでしょうか。
他の開発者があなたのチームにいて、彼らがあなたと同じアプリへのアクセス権を持っている場合、あなたができることはそれほど多くないと思います. ただし、ユーザーを意味する場合、セキュリティを確保するために最初に行うことは、クラス レベルの権限parse-serverを設定することです。まだダッシュボードがないため、これは手動で行う必要があります。データベースでコレクションをチェックアウトします。次のようなフィールドがあります。_Schema_metadata
// Public read, private write
"_metadata": {
"class_permissions": {
"get": {"*": true},
"find": {"*": true},
"update": {},
"create": {},
"delete": {},
"addField": {},
"readUserFields": [],
"writeUserFields": []
}
}
ロール、ユーザー、およびオブジェクトに基づくセキュリティ オプションもあります。これらは以前と同じようにコードで設定でき、変更がオブジェクトにどのように影響するかを確認できます。値の例を次に示します。
{
"_id": "0CjkfC3MCO",
"_acl": {
"*": {"r": true},
"role:store": {"w": true}
},
"_rperm": ["*"],
"_wperm": ["role:admin"],
"_updated_at": ISODate("2016-02-25T02:26:49.179Z"),
"_created_at": ISODate("2015-08-07T19:47:42.008Z")
}
ジャンク クラスの作成を回避するには、解析サーバーの設定/環境で、ユーザー クラスの作成を許可するを false に設定します。
機密オブジェクト/クラスを使用して ACL アクセスを構成します - そこに読み取り/書き込みアクセスを設定できます。
解析サーバー設定で匿名ユーザーを無効にして、登録ユーザーのみがサーバーを使用できるようにします。
データに関しては、beforeSave/afterSave トリガーですべてのデータを検証します。