出于安全原因,我们计划禁用对类的所有写访问。 客户端应用程序(Android和IOS SDK)仅具有对Parse数据(类)的只读访问权限,仅可通过云功能修改存储在parse服务器中的数据。 云函数将调用Parse.Cloud.useMasterKey();
我们提出了这种解决方案,因为几乎不可能隐藏攻击者/黑客的解析应用程序ID和解析客户端密钥。
那么这是一个好的解决方案吗? 有什么缺点吗? “ Parse.Cloud.useMasterKey()”方法是否会对性能产生影响?
谢谢...
这是非常标准的做法,你在你的云功能实现自己的安全性和使用的主密钥。
从理论上讲,使用主密钥可能会更有效,因为使用主密钥时,解析服务器完全不必处理角色/用户/ ACL。 当然,您需要在安全逻辑和其他检查之间取得平衡。