【发布时间】:2017-02-11 21:53:43
【问题描述】:
传统上,用户可以使用会话密钥编辑自己的行,并使用主密钥编辑其他用户的数据。
使用主密钥不是一种选择,因为这会带来安全风险。
我已尝试在 _Users 类上使用 ROLES 和 CLP 向将被视为“管理员”的用户授予写入/读取权限,但我仍然收到 206 错误“您无法修改用户 X”
我的问题是:是否可以在没有主密钥的情况下编辑其他用户的数据?
【问题讨论】:
标签: parse-platform parse-server
传统上,用户可以使用会话密钥编辑自己的行,并使用主密钥编辑其他用户的数据。
使用主密钥不是一种选择,因为这会带来安全风险。
我已尝试在 _Users 类上使用 ROLES 和 CLP 向将被视为“管理员”的用户授予写入/读取权限,但我仍然收到 206 错误“您无法修改用户 X”
我的问题是:是否可以在没有主密钥的情况下编辑其他用户的数据?
【问题讨论】:
标签: parse-platform parse-server
据我所知,不是直接的。 我需要实现类似的东西,一些用户能够编辑其他用户的信息。
我通过使用云功能实现了这一点。这个想法是验证请求用户是否有权修改用户,并且一旦确定用户是管理员,使用主密钥就不会带来安全风险,因为只有经过身份验证的用户才能超越权限检查.
【讨论】: