我正在使用Parse.com为BaaS开发应用程序。除了定期的安全检查之外,我的理解/理念是,安全的一部分是假设某人已经入侵,然后限制他们可以访问/删除/搞砸的数量。
我希望这样做的一种方法是对某些API请求设置每用户速率限制。我可以想象一种天真的方法,其中我保存最近和最近访问过的人员列表,并在允许该类型的请求通过之前检查该列表(我在考虑之前保存各种自定义类)。
是否有更好的,理想的内置方式?
答案 0 :(得分:2)
虽然Parse.com没有配置此功能的选项,但解析声称他们会跟踪可疑活动,并会监控DDoS攻击的尝试。但不确定这可能延伸到什么程度,因为这个具体问题与情景明智相关/不相关。 您没有选项来执行用户级别的速率限制,但他们会报告任何可疑活动,例如来自同一设备的冗余命中。
答案 1 :(得分:0)
正如解析文档here中所述,它们支持两级权限Class level(通过数据浏览器)& Object level(使用ACL)
配置班级权限
Parse允许您指定每个类允许的操作。这个 允许您限制客户端访问或修改您的方式 类。要更改这些设置,请转到数据浏览器,选择一个 上课,打开"更多"下拉菜单,然后点击"设置权限"项目
类级别权限是一种手动方式,可以授予对类中特定用户或角色的访问权限。
在您的情况下,您可能需要基于访问控制列表(ACL)的对象级权限。
访问控制列表
ACL背后的想法是每个对象都有一个用户和角色列表以及用户或者用户的权限 角色有。用户需要读取权限(或必须属于该角色) 具有读取权限)以便检索对象的数据,以及 用户需要写入权限(或必须属于具有写入权限的角色 权限)以更新或删除该对象
创建新角色并向可以访问的角色添加用户列表。然后在其他对象上设置这样的ACL。
{ "role:YourRoleName":{"read":true, "write" : true}}
现在,您可以动态添加或删除该角色中的用户,而无需更新单个对象。