Parse Server - 某些用户是不是可以编辑其他用户的数据?
Posted
技术标签:
【中文标题】Parse Server - 某些用户是不是可以编辑其他用户的数据?【英文标题】:Parse Server - Is it possible for certain users to edit other users's data?Parse Server - 某些用户是否可以编辑其他用户的数据? 【发布时间】:2017-02-11 21:53:43 【问题描述】:传统上,用户可以使用会话密钥编辑自己的行,并使用主密钥编辑其他用户的数据。
使用主密钥不是一种选择,因为这会带来安全风险。
我已尝试在 _Users 类上使用 ROLES 和 CLP 向将被视为“管理员”的用户授予写入/读取权限,但我仍然收到 206 错误“您无法修改用户 X”
我的问题是:是否可以在没有主密钥的情况下编辑其他用户的数据?
【问题讨论】:
【参考方案1】:据我所知,不是直接的。 我需要实现类似的东西,一些用户能够编辑其他用户的信息。
我通过使用云功能实现了这一点。这个想法是验证请求用户是否有权修改用户,并且一旦确定用户是管理员,使用主密钥就不会带来安全风险,因为只有经过身份验证的用户才能超越权限检查.
【讨论】:
以上是关于Parse Server - 某些用户是不是可以编辑其他用户的数据?的主要内容,如果未能解决你的问题,请参考以下文章
parse-server:如何区分用户类 BeforeSave 中的 signUp 和常规 ParseUser.save?