设置Apigee BAAS的权限

Question

在Apigee BAAS entities中设置对象权限的最佳方式是什么?在集合中，用户可以编辑他们创建的内容，其他人可以读取它们。也许有一种情况下，管理员能够编辑所有内容。

我在Securing apigee baas这里问了一个类似的问题，更多的是关于保护应用程序id/密钥，这将是调用更新权限所需的，但我想知道在移动应用程序中做这类事情是否有任何最佳实践。

我最初的想法仍然是服务调用(不确定上一个问题中提到的Apigee-127与直接到BAAS的服务调用有什么不同，因为对我来说127看起来就像是在Node.js中编写apis，而不是使用边缘控制台)，但我不知道是否有更简单的方法来保护特定用户创建的特定集合中的所有实体？我想我可以添加一个创建者列，我可以从应用程序的角度进行检查，但这不会阻止某人直接访问BAAS并检索此信息，除非还在需要用户访问令牌的实体级别设置了权限。

有没有可能以这样的方式保护BAAS，即只有来自Edge的调用才能命中BAAS url？

Answer 1

(免责声明:我自己没有尝试过，但这里有一个建议。)

使用$user时，BaaS接口会自动将路径段设置为当前通过认证的用户的UUID。例如，如果您为UUID为bd397ea1-a71c-3249-8a4c-62fd53c78ce7的用户发送了一个带有有效访问令牌的请求，则路径/users/${ user }将被解释为/users/bd397ea1-a71c-3249-8a4c-62fd53c78ce7，仅将权限分配给该用户实体。

这样，通过您的应用程序，您可以在从应用程序创建对象时立即为每个用户和每个对象设置权限。当然，假设您已经对用户进行了身份验证。

参考：http://apigee.com/docs/api-baas/content/using-permissions