Parse platform 解析服务器用户表安全性

我对使用解析服务器（托管在back4app中）相当陌生，希望得到一些关于预先创建的“用户”表的澄清

我目前正在尝试使用Parse开发一个Web应用程序（Javascript），并使用restapi调用注册和登录用户。我注意到的一件事是，任何人都可以获得我的RESTAPI密钥（通过html源代码），但最重要的是，任何人都可以发出get“users”请求来获取数据库中的所有用户。这些结果包括用户名、电子邮件和ObjectID。因此，任何人都可以使用ObjectID对“sessions”表进行另一次REST调用，并检索sessionToken（我计划将其用作受保护REST API调用的授权令牌）

我不太确定如何安全地完成这项任务。我在网上搜索过，但没有多大成功。任何帮助或文章将不胜感激

---

谢谢

通过 CLP（类级权限）和/或ACL（每行）。 你应该看看这里：

请注意：“会话对象只能由用户字段中指定的用户访问。所有会话对象都具有仅由该用户读取和写入的ACL。您不能更改此ACL。这意味着查询会话将只返回与当前登录用户匹配的对象。”

REM：对于web应用程序，您应该使用解析“Javascript键”，它可以是“public”。通过将REST API密钥用于可能对您的数据库发出REST请求的“第三方自定义和专用服务器”，尝试使REST API密钥更“专用”