保护apigee baas

Question

我最近一直在考虑使用apigee的baas，作为移动应用程序的parse的替代方案。现在，Parse显然允许您创建ACL等来定义谁可以对特定对象进行读/写。我知道baas有角色的概念，但有几个问题我正在努力解决。我只是不确定如何在每个对象和任何关系上设置角色/ACL。

1)我知道我可以使用Edge创建api端点，然后使用这些代理访问我的baa，我可以使用访问令牌保护这些代理，但是我如何才能保护那些仅仅找到我的baas url并调用/users来公开用户集合和每个人的电子邮件的人呢？

但是，当我尝试通过web界面在/users/${user}上添加PUT权限时，它会报告无效字符。只能通过api调用来设置吗？您将如何保护特定用户的资源？那么，如果每个用户都有一个“待办事项列表”，我如何才能确保用户只能访问自己的项目呢？我需要建立关系吗？你会怎么做呢？

**编辑**我已经设法通过在我的BAAS端点的边缘创建一个代理来实现大部分功能。当创建用户时，代理在响应期间发出服务调用，使用新返回的uuid和组织access_token更新权限，以便新创建的用户可以编辑自己。然而，对我来说，这仍然是一个相当复杂的过程，我觉得它应该更容易一些。我主要担心的是，如果用户在移动设备上执行这些操作，那么根据文档，我应该只使用用户访问令牌。

谢谢

Answer 1

需要考虑的一件事是使用Apigee a127产品。您可以将需要更多凭据的所有逻辑放到运行在任何地方的Node.js应用程序中-甚至托管在Apigee中。这将允许您在服务器上而不是在设备上执行任何需要执行的内务操作。您可以在http://apigee.com/docs/api-services/content/apigee-127上阅读有关Apigee a127的更多信息