我最近一直在看使用apigee的巴斯,作为替代类似的解析,移动应用程序。 现在显然解析允许你创建的ACL等来定义谁可以读取/写入特定对象。 我知道巴斯有角色的概念,但有我与挣扎的几个问题。 我了解使用访问令牌通过边做这个的概念。 我只是不知道如何我实际设置角色/ ACL的每个对象和任何的关系上。
1)我知道我可以使用边缘创建API端点,然后使用这些代理打我的巴斯和我可以访问令牌保护这些代理,但我怎么能保护别人只是找出我巴斯的网址,并呼吁/例如用户暴露用户采集和每个人的电子邮件?
2)我没有在文档的通知,当你设置权限,你可以使用特殊的$ {用户}占位仅代表允许访问当前用户。 然而,当我尝试通过Web界面/用户/ $ {}用户添加PUT允许它抱怨无效字符。 你能只能通过API调用设置这个? 你会如何去保护资源为特定用户? 所以,如果每个用户都有一个“任务清单”我怎么能确保用户只能访问自己有项目? 我需要建立的关系? 你会如何去吗?
**编辑**我已经成功通过创建边缘代理我BAAS端点,以获得最这个工作的。 当创建一个用户,代理再作出反应在业务标注,使用新返回UUID和ACCESS_TOKEN更新权限,使新创建的用户可以编辑自己的组织。 然而,这仍似乎是一个颇为曲折的过程对我来说,我觉得它应该更容易。 我最关心的是,如果用户在移动设备上采取这些措施以后,根据文档,我应该只使用一个用户访问令牌。 但是,用户访问令牌不会让我更新权限用户! 我觉得我被困在一个有点赶上22日的情况。 为了让我的应用程序更安全,我需要使用的凭证,这将使它的整体安全性较差!
谢谢