Parse.com을 백엔드로 사용하는 Android 및 웹 클라이언트를 구축하려고합니다. 앱에 로그인하려면 먼저 사용자를 인증해야합니다. 누군가가 애플리케이션 키, 클라이언트 키 등을 확보하면 Rest 호출로 인증없이 앱에 액세스 할 수 있습니다. 사용자 세션에서만 결과를 반환하도록 구문 분석 쿼리를 제한하려면 어떻게해야합니까? 보안 조치를 찾고 있습니다.
모든 Parse 애플리케이션 및 클라이언트 키 (마스터 키 제외)는 비밀이 아닌 공개 정보 로 간주됩니다 . 이것은 Parse 문서에 명확하게 언급되어 있습니다. 숨길 수있는 방법이 없으며 앱 / 웹 사이트의 일부가되며 모든 사용자가 쉽게 검색 할 수 있습니다. 즉, Public 읽기 액세스 권한이있는 클래스의 모든 데이터는 누구나 검색 할 수 있습니다.
구문 분석은 데이터 읽기 권한을 제어 할 수 있습니다 만 통해 클래스 수준 권한 (CLPs) 및 액세스 제어 목록 (ACL) . 이러한 솔루션이 구현하려는 보안 조치를 제공 할 수 없다고 생각되면 데이터에 대한 공개 읽기 액세스를 완전히 비활성화하고 Cloud Functions서버에서 데이터를 검색하기 위해 자체적 으로 구현해야 합니다. 이렇게하면 데이터를 반환하기 전에 사용자 자격 증명, 권한 등을 테스트 할 수 있습니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다