В соответствии Parse Security Guide ваш JavaScript ключ не секрет:
Когда приложение подключается к первой Разобрать, он идентифицирует себя с идентификатором приложения и ключ клиента (или REST Key или .NET Key , или JavaScript-ключ, в зависимости от используемой вами платформы). Это не секрет, и они сами не защищают приложение. Эти ключи отправляются как часть вашего приложения, и каждый может декомпилировать трафик вашего приложения или прокси-трафика с их устройства, чтобы найти свой клиентский ключ. Этот эксплойт еще проще с JavaScript - можно просто «просмотреть исходный код» в браузере и сразу же найти свой клиентский ключ.
Да, любой, кто нашел ваш ключ, может звонить. Но вы можете (и должны) ограничивать то, что каждый может сделать.
Используя Class-Level Permissions, вы ограничиваете то, что можно сделать с помощью отдельных классов.
Используя Object-Level Permissions, вы ограничиваете, что можно сделать с выбранными объектами.
См. Также Roles и Roles Hierarchy для одновременной установки разрешений для группы из нескольких пользователей.
Например, вы можете ограничить доступ к определенным пользователям. Только если один из этих пользователей зарегистрирован, доступ предоставляется. Любой другой «хакер» может попытаться использовать ваши ключи, но запрос будет отклонен Parse.