正在使用parse.com框架安全吗？

Question

我想开始使用Parse.com来构建一个新的应用程序。我在他们的网站上阅读了很好的文档，但恐怕有些东西我可能错过了。

我知道我可以从应用程序添加DB数据。假设我想节省一些“注意”到DB从我的Android应用程序 - 我可以看到我从Android SDK调用它保存到我的数据库的方法：

String data = txtnote.getText().toString(); // read the note from the view 
ParseObject note = new ParseObject("Notes"); // saves to notes DB 
note.put(USER_NAME_KEY, username); 
note.put("note", data); 
note.saveInBackground(new SaveCallback() 
{ 
    @Override 
    public void done(ParseException e) 
    { 
     // DO SOMETHING 
    } 
}); 

我想知道这个代码是安全？看起来，如果有人试图对我的代码进行反向工程，他实际上可以看到有关我的解析帐户的一些信息（当我初始化应用程序时，我使用APP_ID和CLIENT_KEY）。如果我将它与使用安装在某个服务器上的REST API进行比较，那么我只会将想要存储的数据与用户的身份验证密钥一起发送？

我错过了什么？有没有办法在parse.com上使用云代码完成一些REST API之王？在保存前不需要进行一些操作？

我会感谢你的回答，如果你能指导我的某个地方，我可以了解更多。

Answer 1

• APP_ID和CLIENT_KEY仅用于建立到解析服务器的连接，而不是用于修改数据的授权。 MASTER_KEY是最重要也是最重要的一个，你的apk中不会有那么简单，所以没有人可以对你的apk进行逆向工程。请see this notes on connection between client and server on parse doc site。

• 是的，当然你应该将数据敏感的操作转移到云代码上，并且只在你的客户/应用程序中不那么敏感的操作。请使用MASTER_KEY在implementing business logic and security related ops in cloud code上查看此笔记。

• 此外，您应该考虑利用Class level和object level (ACL)限制和访问权限。在创建数据模型时，请确保仔细配置其访问级别。