Parse Server - 某些用户是否可以编辑其他用户的数据?
Parse Server - Is it possible for certain users to edit other users's data?
传统上,用户可以使用会话密钥编辑自己的行,并使用主密钥编辑其他用户的数据。
不能使用主密钥,因为这会带来安全风险。
我已经尝试在 class _Users 上使用 ROLES 和 CLP 将 write/read 权限授予将被视为 "admins" 的用户,但我仍然得到 206错误 "you cannot modify user X"
我的问题是:是否可以在没有主密钥的情况下编辑其他用户的数据?
据我所知,不是直接的。
我有一个要求实现类似的东西,一些用户能够编辑其他用户的信息。
我是通过使用云函数实现的。这个想法是验证请求用户是否有权修改用户,一旦确定用户是管理员,使用 master-key 就不会有安全风险,因为只有经过身份验证的用户才能超越 permission-check。
传统上,用户可以使用会话密钥编辑自己的行,并使用主密钥编辑其他用户的数据。
不能使用主密钥,因为这会带来安全风险。
我已经尝试在 class _Users 上使用 ROLES 和 CLP 将 write/read 权限授予将被视为 "admins" 的用户,但我仍然得到 206错误 "you cannot modify user X"
我的问题是:是否可以在没有主密钥的情况下编辑其他用户的数据?
据我所知,不是直接的。 我有一个要求实现类似的东西,一些用户能够编辑其他用户的信息。
我是通过使用云函数实现的。这个想法是验证请求用户是否有权修改用户,一旦确定用户是管理员,使用 master-key 就不会有安全风险,因为只有经过身份验证的用户才能超越 permission-check。