关于Parse.com客户端共享应用程序;api密钥
About Parse.com client side sharing app & api keys
我正在学习parse.com实现小型html5客户端。云服务提供开箱即用的方法来注册用户、创建条目等。
要么我错过了一两件事(我肯定会错过的),要么暴露这两个应用程序并不是不安全的;客户端的api密钥。我习惯于使用NodeJS中继来代理对云服务的调用,该中继实现"最大用户操作/s"或"api滥用",如"防止用户调用2000次"注册用户"功能。
这种安全性在parse.com服务中的任何地方都实现了吗?我错过了……你对这些api向公众开放的良好使用有什么想法?
谢谢,
首先,您需要假设任何用户都可以获得您的应用程序ID和客户端密钥。这在解析文档的"安全性"部分中有提及。您应该将业务逻辑隐藏在云代码中,这样您就可以在客户端看不到的情况下实现所需的检查/安全性。
另一件事是,一旦用户知道你的应用程序ID和客户端密钥,你就无法阻止他们访问你的API。此将影响解析设置的API限制。如果你有一个恶意用户,他们可以"拒绝服务"你的应用程序,除了更改你的密钥,你对此无能为力。这可能会影响客户端,具体取决于您设置一切的方式。
解决这一问题的一个潜在方法是(正如您所提到的)在客户端之间放置一个瘦代理并进行解析。您可以在代理中隐藏应用程序ID和客户端密钥,并在那里实现一些简单的检查以阻止拒绝服务。
相关文章:
- API密钥使用和检查示例
- 基于api密钥的NodeJS web服务
- 带有新API密钥的Google Places Library OVER_QUERY_LMIT
- 如何在Ionic/Codova应用程序中保护我的Google Maps Javascript V3 API密钥
- 关于Parse.com客户端共享应用程序;api密钥
- 为Google Matrix指定API密钥API Javascript检索用法
- 谷歌云打印API密钥
- YouTube API密钥安全-我应该有多担心
- 使用javascript使用带有API密钥的API
- 您是否需要将 API 密钥用于客户端应用程序的谷歌地图 API
- 用于客户端-服务器通信和安全的 API 密钥
- 复制 API 密钥是否意味着身份被盗?
- 在 Javascript 中保护 API 密钥
- 是否可以检测到谷歌地图何时拒绝了API密钥
- 当我的 API 密钥位于 .gitignore 文件中时,如何从 git 部署到 heroku
- 在哪里使用地方 API 密钥
- 如何正确添加谷歌地图 api 密钥
- 谷歌地理编码仅在没有API密钥的情况下运行
- 在模型同步时发送带有 json 的 API 密钥
- Google 日历 API 密钥不允许通过简单的 GET 请求访问公共日历