我一直在学习 Angular.js 并使用了 Parse作为后端服务。要将数据发布到 Parse RESTful API,您可以在请求的 header 中传递 REST API key 和 App ID,如下所示:
var config = {headers: {"X-Parse-REST-API-Key":"someapikey", "X-Parse-Application-Id":"someappid"}};
$http.post("https://api.parse.com/1/classes/myobject", obj, config).success (
function(data) {console.log(data);}
);
虽然这对学习很有帮助,但我想知道 RESTful API for Parse 或任何其他后端即服务 vendor 如何在真正的 html 应用程序中工作。 API key 和应用程序 ID 将在 JavaScript 中公开,任何聪明到可以查看源代码的人都可以修改您帐户的数据。
我可以想象它工作的唯一方法是使用一个添加到 Api Key/App Id header 的代理服务器。但是,这会破坏不必运行您自己的后端服务器的目的。我在这里遗漏了什么吗?
最佳答案
这就是你所缺少的:)
Parse.com REST/JavaScript 键被设计为“out-in-the-wild”。使用这些 key ,不可能绕过对象访问规则或 beforeSave 验证。只有万能 key 才能做到这一点。保护主 key 。一个有用的类比是公钥加密:您需要共享您的公钥但保护私钥。
任何人都可以修改您的数据吗?是的,但前提是您允许他们。用户可以查询属于其他用户的数据吗?是的,但前提是您允许他们。 Parse 有几种方法可以确保数据的完整性和安全性。
首先是每个对象的权限。使用 Parse.com Web 界面设置 a) 是否可以动态创建类和 b) 现有类的 CRUD 权限。保护应用程序的一个更简单的步骤是禁用任何未明确要求的类权限。例如,在后端创建的对象不需要最终用户可写(或可能可读)。
第二个是访问控制列表 (ACL)。 ACL 设置在每条记录上。它们指定哪些用户或 Angular 色可以读取或写入记录。没有 ACL 的记录是公开的(任何用户都可以找到它)。如果 Sue 创建了一个对她来说应该是私有(private)的记录,那么就设置一个 ACL。如果没有主 key ,Tom 将无法找到它。
第三个是 Cloud Code。您可以使用 beforeSave/afterSave 函数执行关键任务业务规则和数据验证。确定什么是真正重要的,并确保它在这些功能中得到验证。在这些函数中显式设置 ACL 也是一个好主意。创建对象时可以传入 ACL,但最终用户有可能篡改这些。
这里是安全性和完整性的总结经验法则。
对象权限应仅在支持您的要求所需的情况下开放。
每条记录都应该有一个 ACL,除非您确定它不应该。
大多数 ACL 应该使用 before/afterSave 函数设置。
任何必须执行的验证都应该在 before/afterSave 函数中检查。
最后一件事:人们很容易认为所有业务逻辑都“重要”并坚持“完美的完整性”。对于许多应用程序来说,这太过分了。确保你有足够的服务器端保护,这样一个用户永远不会对你或你的其他用户造成伤害。担心超出这个范围(支持成本除外)没有太大意义。如果有人正在试用您的应用,但被阻止有意或无意地干扰他人,也许他们会找到一种全新的使用方式:)。
关于javascript - 如何在 html 应用程序中保护用于解析的 Rest API key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18072123/
我有一个字符串input="maybe(thisis|thatwas)some((nice|ugly)(day|night)|(strange(weather|time)))"Ruby中解析该字符串的最佳方法是什么?我的意思是脚本应该能够像这样构建句子:maybethisissomeuglynightmaybethatwassomenicenightmaybethiswassomestrangetime等等,你明白了......我应该一个字符一个字符地读取字符串并构建一个带有堆栈的状态机来存储括号值以供以后计算,还是有更好的方法?也许为此目的准备了一个开箱即用的库?
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我想将html转换为纯文本。不过,我不想只删除标签,我想智能地保留尽可能多的格式。为插入换行符标签,检测段落并格式化它们等。输入非常简单,通常是格式良好的html(不是整个文档,只是一堆内容,通常没有anchor或图像)。我可以将几个正则表达式放在一起,让我达到80%,但我认为可能有一些现有的解决方案更智能。 最佳答案 首先,不要尝试为此使用正则表达式。很有可能你会想出一个脆弱/脆弱的解决方案,它会随着HTML的变化而崩溃,或者很难管理和维护。您可以使用Nokogiri快速解析HTML并提取文本:require'nokogiri'h
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack