Web上的Kinvey Key和Secret Key安全

Question

为了从网络访问我的kinvey帐户，我放入了如下所示的config.js文件：

var config = {

kinvey : {

    app : {

        key : 'kid_123123123',

        secret : '66a1111f62233445502833'

    }

}
};

在每个js文件中初始化它，如下所示：

var promise = Kinvey.init({
    appKey    : config.kinvey.app.key,
    appSecret : config.kinvey.app.secret
});

如果一个人得到了我的密钥和秘密，那么他将能够从我的kinvey数据库中进行CRUD。有什么解决方案吗？

干杯，马克·蒂恩

Answer 1

这是非常好的，这就是Kinvey和许多其他服务/库的操作方式。你可以(也必须)把你的appKey和密码放入你的初始化，但是你没有也不应该放入客户端代码的是你的主秘密。这就是允许任何人在数据库上执行任何事务的原因。

只要正确设置了权限，您就不需要担心安全性，这就是它们存在的原因。用户可以创建自己的帐户并对数据库执行事务，但只能使用您指定的权限。这就是为什么您几乎从不想将集合权限设置为完全开放的原因。默认情况下，集合权限设置为“共享”-这意味着用户可以对自己的记录进行写操作，只能对其他用户记录进行读操作。