サーバーの匿名認証セキュリティの問題をパーズします

Question

私のユーザーに、私のパースサーバーを通じてDropboxアクセストークンを提供したいと考えています。 知らない人のために、Dropboxアクセストークンは、Dropboxアカウントファイルに直接アクセスできる文字列です。誰かが見つけたら、すべてのファイルを削除できるので、秘密にする必要があります。

私のサーバーは多くのアクセストークンを格納し、正しいトークンをユーザーに提供する必要がありますが、匿名のログインでは誰かがパーズサーバーのキーを知っていると、秘密のドロップボックスアクセストークン。

まず、セキュリティ上の理由から私はサーバーにアクセストークンを提供し、それを保護するためにハードコードされていません。 しかし、パーズキーをハードコーディングするとどうなりますか？

これを処理する方法はありますか？

ありがとうございました。

Answer 1

はい、あなたは正しいです。誰かがあなたのAPIKEYを知っている場合は、ACLを使用しない限り、彼は

ACLを使用すると、ユーザー/ロールを読み取りまたは書き込むことができる（アプリケーションレベルで）決定することを可能にするアクセス制御リストで何の問題もなく、あなたのパースのサーバーを照会することができます1つまたは複数の解析オブジェクトまたは解析ユーザーに送信します。実行時にParseは、ログインしているユーザーがオブジェクトの読み取りまたは書き込みアクセス権を持っているかどうかをチェックし、アクセス権がある場合のみ、結果をクライアントに返します。

アクセストークンだけを保護したい場合は、ユーザー/トークンをACLで保護することをお勧めします。ユーザーアクセストークンを格納する別のクラスを作成することをお勧めします。このクラスでは、関連ユーザーのACLのみ。

あなたがここにACLの詳細を読むことができます：

iOS SDK

Android SDK

JavaScript SDK