限制 Parse Cloud Function 仅由经过身份验证的用户执行
Restrict Parse Cloud Function to be executed only by authenticated users
昨天,我尝试在没有经过身份验证的用户的情况下从设备执行云功能,并且该功能得到了执行。这是一个巨大的安全漏洞。
有没有办法将云功能的执行限制为仅经过身份验证的用户,可能类似于 requiresAuthentication 的选项?
为此,您可以按照文档中的说明检查 request.user。这不是 'security loophole'。如果您想确保只进行经过 masterKey 身份验证的调用,您甚至可以检查 request.master。
默认情况下,您的 API 允许来自任何具有有效 applicationId / clientKey 对的 SDK 的通信。 (并且 applicationId / clientKey 不被视为安全功能,而只是路由工件)。
有关更多信息,请随时查看文档和 api 文档:http://parseplatform.org/Parse-SDK-JS/api/v1.11.1/Parse.Cloud.html#.FunctionRequest
昨天,我尝试在没有经过身份验证的用户的情况下从设备执行云功能,并且该功能得到了执行。这是一个巨大的安全漏洞。
有没有办法将云功能的执行限制为仅经过身份验证的用户,可能类似于 requiresAuthentication 的选项?
为此,您可以按照文档中的说明检查 request.user。这不是 'security loophole'。如果您想确保只进行经过 masterKey 身份验证的调用,您甚至可以检查 request.master。
默认情况下,您的 API 允许来自任何具有有效 applicationId / clientKey 对的 SDK 的通信。 (并且 applicationId / clientKey 不被视为安全功能,而只是路由工件)。
有关更多信息,请随时查看文档和 api 文档:http://parseplatform.org/Parse-SDK-JS/api/v1.11.1/Parse.Cloud.html#.FunctionRequest