问在没有主密钥的情况下禁用对解析服务器的请求

EN

公共读取意味着拥有您的api密钥的任何人都可以从您的解析服务器读取用户集合。Api密钥不是保护你的应用程序的最佳方法，因为任何人都可以通过“嗅探”你的网络请求来知道它。为了保护和提供访问权限，您可以使用ACL保护您的对象，ACL允许您为特定用户(已登录)或特定角色创建访问权限。因此，您有两个选择：

1. 创建一个主用户-每个用户都必须有用户名和密码，当您创建解析对象时，请确保只有这个特定用户才能创建/读取/删除和更新它们。您必须确保在创建对象时为该用户创建ACL，以便只有该用户能够修改和读取该对象。你可以在这里了解更多关于解析服务器安全和ACL的信息：http://docs.parseplatform.org/rest/guide/#security
2. 使用解析云代码-在云代码中，useMasterKey有一个很好的特性，它提供对解析服务器的任何对象的完全访问权限，所以对于你运行的每个操作(通过JS )，你也可以将useMasterKey设置为true，然后解析服务器将忽略所有的ACL，并为你执行查询。useMasterKey特性只在云代码上下文中工作，所以它是安全的。如果您想提供额外的安全级别，您可以使用主用户(从第1节)运行云代码函数，并检查用户会话的云代码，因此如果会话为空，则可以返回错误。

你可以在这里阅读更多关于云代码的内容：http://docs.parseplatform.org/cloudcode/guide/

下面是验证用户会话的代码：

if (!request.user || !request.user.get("sessionToken")) {
    response.error("only logged in users are allowed to use this service");
    return;
}