У меня есть проблема, что кто-то может использовать мой ключ ключа анализа, создавать собственное приложение и подключаться к Parse, создавать пользователей и выполнять мои функции облачного кода.Parse Cloud Cloud - принимать только вызовы из моего домена
Есть ли способ заблокировать это, чтобы Parse принимал запросы, которые происходят из моего веб-домена, например, www.mydomain.com, если да, как бы я это сделал?
Не совсем, и любая проверка на заголовках не является надежной, так как ее легко подделать.
Вместо этого вы должны создать свою собственную систему аутентификации для своих запросов. Опять же, это может быть обратное проектирование, но будет сложнее. Схема может быть чем-то вроде отметки времени и соленого хэша этой метки времени, которую сервер может проверить (потому что он знает соль).
Ваш ключ клиента является общедоступной информацией, а не секретом, поэтому не рассматривайте его так, как будто он один. Также данные будут либо публичными, либо защищенными (с использованием списков ACL, CLP или защищенного кода облака). Поэтому, если кто-то получит ваш ключ и построит интерфейс, они смогут получить доступ к чему-нибудь вы можете выбрать, чтобы публиковать информацию. Вы действительно не можете иметь общедоступные данные, которые доступны только через ваше собственное приложение, даже если вы реализуете меры, которые затрудняют извлечение.
Хорошие моменты, я несколько рассмотрел проблему, когда пользователи могут быть созданы «на лету» с помощью google recapcha v2, это добавит дополнительной сложности и уберет ботов. – user3524762
Хорошо, я собираюсь изучить промежуточное ПО Parse express, чтобы узнать, может ли это помочь, я заметил, что есть функциональность CSRF, но не уверен, как он полностью связан с Parse. – user3524762