Chỉ cần kiểm soát chặt chẽ các tùy chọn Bảo mật cấp độ chung của bạn (tạo lớp ứng dụng khách, v.v ...)), Các tùy chọn Bảo mật Cấp Lớp (ví dụ, bạn có thể vô hiệu hóa các máy khách đang xóa các mục _Installation. Nó cũng phổ biến để vô hiệu hóa việc tạo trường cho tất cả các lớp.), Và quan trọng nhất là tìm ra các ACL.
Thông thường tôi sử dụng bộ kích hoạt trướcSave để đảm bảo ACL luôn chính xác. Vì vậy, ví dụ, đối tượng _User là nơi đặt email khôi phục. Chúng tôi không muốn người dùng khác có thể xem email khôi phục của nhau, vì vậy tất cả các đối tượng trong lớp _User phải có đọc và ghi được đặt cho người dùng chỉ (với công khai đọc sai và ghi công khai sai).
Bằng cách này, bản thân người dùng chỉ có thể giả mạo hàng của chính họ. Những người dùng khác thậm chí sẽ không nhận thấy hàng này tồn tại trong cơ sở dữ liệu của bạn.
Một cách để giới hạn hơn nữa trong một số trường hợp, là sử dụng các chức năng đám mây. Giả sử một người dùng có thể gửi tin nhắn cho người dùng khác. Bạn có thể thực hiện điều này như là một tin nhắn lớp học mới, với nội dung của tin nhắn, và con trỏ đến người dùng đã gửi tin nhắn và cho người dùng sẽ nhận được tin nhắn.
Vì người dùng đã gửi tin nhắn phải có khả năng hủy tin nhắn và vì người dùng nhận được tin nhắn phải có khả năng nhận tin nhắn, cả hai đều cần đọc được hàng này (vì vậy ACL phải có quyền đọc cho cả hai người). Tuy nhiên, chúng tôi không muốn một trong số họ giả mạo nội dung của tin nhắn. Vì vậy, bạn có hai lựa chọn thay thế: hoặc bạn tạo trình kích hoạt beforeSave kiểm tra xem các sửa đổi mà người dùng đang cố thực hiện cho hàng này có hợp lệ hay không trước khi cam kết hoặc bạn đặt ACL của thư để không ai có quyền ghi và bạn tạo các chức năng đám mây để xác thực người dùng và sau đó sửa đổi thông báo bằng cách sử dụng phím chính.
Điểm là, bạn phải thực hiện những cân nhắc này cho mọi phần trong ứng dụng của mình. Theo như tôi biết, không có cách nào xung quanh việc này.
Điều này cũng liên quan đến tôi. Tôi đã tìm thấy một vài liên kết (https://parse.com/questions/prohibit-user-from-changing-their-own-game-score và https://parse.com/questions/javascript-sdk-security). Tôi nghĩ rằng hệ thống ACL của Parse có thể đủ an toàn cho các nhu cầu của ứng dụng cụ thể của tôi, nhưng tôi nghĩ rằng đối với một số ứng dụng khác, tôi cần phải tìm hiểu thêm các phương pháp bảo mật để cố gắng khóa các thứ. – Ryan