Parse Server Security

Question

Я запускаю чистую Heroku & Установка MLab Parse Server (https://github.com/ParsePlatform/parse-server-example), которую я контролирую с помощью панели инструментов Parse Server (https://github.com/ParsePlatform/parse-dashboard).

Я могу сделать вызовы Rest API & создавать новые классы. Как предотвратить создание новых классов через вызовы API (либо путем входа в систему, либо анонимно)?

Похоже, в настоящее время на панели управления Parse Server нет контроля над этим.

Answer 1

Я нашел ответ на мой вопрос здесь:

http://stansidel.com/2016/03/parse-server-security-considerations-and-server-updates/

Установка allowClientClassCreation, который является одним из самых современных опций в настройках Анализировать Server.

Я установил enableAnonymousUsers в false, что предотвращает анонимные вызовы API.

Соответствующий фрагмент кода в index.js теперь выглядит следующим образом:

var api = new ParseServer({ 
    databaseURI: databaseUri || 'mongodb://localhost:27017/dev', 
    cloud: process.env.CLOUD_CODE_MAIN || __dirname + '/cloud/main.js', 
    appId: process.env.APP_ID || 'myAppId', 
    masterKey: process.env.MASTER_KEY || '', //Add your master key here. Keep it secret! 
    serverURL: process.env.SERVER_URL || 'http://localhost:1337/parse', // Don't forget to change to https if needed 
    enableAnonymousUsers: process.env.ANON_USERS || false, 
    allowClientClassCreation: process.env.CLIENT_CLASS_CREATION || false, 
    liveQuery: { 
    classNames: ["Posts", "Comments"] // List of classes to support for query subscriptions 
    } 
});