关于Parse.com客户端共享应用程序& api键

Question

我正在学习parse.com来实现小型html5客户端。云服务提供开箱即用的方法来注册用户、创建条目等。

要么我错过了一两件事情(我肯定会)，要么在客户端公开两个app & api键并不不安全。我习惯于使用NodeJS中继代理对云服务的调用，该中继实现了"max用户操作/s“或"api滥用”，比如“阻止用户调用2000倍”“注册用户”函数。

这种安全性是在parse.com服务中实现的吗我错过了.您对这些api的良好使用向公众开放有什么想法？

谢谢,

Answer 1

首先，您需要假设任何用户都可以获得应用程序ID和客户端密钥。在解析文档的安全性部分中提到了这一点。您应该将业务逻辑隐藏在云代码中，这样就可以在客户看不到的情况下实现所需的检查/安全性。

另一件事是，一旦用户知道了您的应用程序ID和客户端密钥，就不能停止访问您的API。此将影响解析设置的API限制。如果您有恶意用户，他们会“拒绝服务”您的应用程序，除了更改您的密钥之外，您什么也做不了。这可能会影响客户端，这取决于您如何设置所有内容。

解决这一问题的一个潜在方法是(正如您已经提到的)在客户端和解析之间插入一个瘦代理。您可以在代理中隐藏应用程序ID和客户端密钥，并在那里实现一些简单的检查，以停止拒绝服务。