个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
所以我通读了 Apple 给我们的示例(CloudKit 目录),我注意到每次您想要编写或读取时都需要将您的 API token 放入脚本中。
现在 Javascript 是基于客户端的,这意味着每个用户都可以读取 API token 并可以读取和写入我的容器?!
此代码将在其中一个 Javascript 文件中
CloudKit.configure({
locale: 'en-us',
containers: [{
// Change this to a container identifier you own.
containerIdentifier: 'com.example.apple-samplecode.cloudkit-catalog',
apiTokenAuth: {
// And generate a web token through CloudKit Dashboard.
apiToken: '<insert your token here>',
persist: true, // Sets a cookie.
signInButton: {
id: 'apple-sign-in-button',
theme: 'black' // Other options: 'white', 'white-with-outline'.
},
signOutButton: {
id: 'apple-sign-out-button',
theme: 'black'
}
},
environment: 'development'
}]
});
现在的问题是:我是不是遗漏了什么,或者是用户通过 Node 进行服务器到服务器通信的解决方案?
最佳答案
这是我的理解:
API token 并不是真的要私有(private),而且也不可能是因为它们设计用于客户端 JavaScript。即使您试图混淆代码中的 token ,也可以通过检查登录过程中调用的 URL 轻松发现它。
要了解的重要一点是,他们不能自己做很多事情。它们允许用户登录到您的容器,然后登录的用户可以读取和写入他们自己的数据——如果他们在 iPhone 或 Mac 上登录 iCloud 并在那里使用您的应用程序,他们可以访问的内容相同.
没有太大的安全问题,因为即使他们拿了你的 token 并编写了他们自己的 JavaScript,他们也只是在弄乱他们自己的数据。也就是说,您可以使用“允许的来源”选项来使这更难做到。 (我这样说是因为他们可以想象使用浏览器扩展或其他东西来改变您网站上的 JS。一般来说,将用户的 CloudKit 数据视为不受信任的数据似乎是明智的,即使它来自 API。)
Server to Server Keys 非常不同,并且有一个私钥当然是私有(private)的。在那种情况下,任何拥有私钥的人都可以读取和写入您的公共(public)数据库。顾名思义,这不是您可以直接从 JavaScript 使用的东西——您需要编写自己的服务器端代码来直接联系 CloudKit API。
不幸的是,虽然 Apple 在您创建私有(private)服务器到服务器 key 时有一个很好的红色警告,但他们似乎没有提供任何关于 API token 的安全指南。我有 99% 的信心认为这是因为这不是问题,并且正在努力获得最后 1% 的确认。
关于javascript - CloudKit.js 的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38333352/
26
4
0
要在私有(private) CKRecordZone 中添加 CKRecord,您需要确保该区域已经存在。 但这是否意味着每次我需要插入记录时,我都需要获取所有区域并使用 fetchAllRecord
我正在与 cloudkit 仪表板交互并查看我的应用程序收集的数据。 如何从仪表板导出所有数据(数据 -> csv 或 json),以便我可以对其进行一些分析? 谢谢! 最佳答案 我认为苹果永远不会提
我使用 Cloudkit 和私有(private)数据库将一些文件存储到 iCloud 并在 iOS 和 OSX 之间同步。现在我想实现一些东西,用户可以在不离开应用程序并查看首选项的情况下查看他的
我有两个看起来像这样的 CloudKit 数据对象: 父对象: { "records": [ { "recordName": "14102C0A-60F
有谁知道这个闭包中的String字段的用途public var recordWithIDWasDeletedBlock: ((CKRecordID, String) -> Void)?。我不知道它的用
我的应用程序在 CloudKit 中执行的几乎所有操作现在都会返回此错误: (lldb) po [error userInfo] { CKDHTTPHeaders = {
我在尝试初始化 Cloudkit schema 时遇到此错误: Error Domain=NSCocoaErrorDomain Code=134060 "A Core Data error occur
我正在更新 iOS13 之前的 Core Data 应用程序以使用 Core Data+CloudKit 同步来支持多个设备上的单个用户。同步应该是自动发生的,并且在我开发的一个中间步骤中它确实起作用
有没有办法使用 CloudKit 获取 iCloud 笔记?我看过文档: https://developer.apple.com/library/archive/documentation/DataM
swift 3.1,Xcode 8.3.3 我在 CloudKit 中有一个名为 Aircraft 的记录类型,它有一个名为 fieldValues 的字段,类型为 Reference List。 在
swift 3.1,Xcode 8.3.3 我在 CloudKit 中有一个名为 Aircraft 的记录类型,它有一个名为 fieldValues 的字段,类型为 Reference List。 在
当我尝试从 CloudKit Dashboard 查询 CloudKit 时,收到一条错误消息: There was a problem querying the “Entry” type. no a
出于某种原因,一小部分 iOS 10 用户无法从我的公共(public) iCloud 容器中读取数据。 CloudKit 返回的 localisedError 是“Account doesn't h
我有一个在 iOS 上运行良好的应用程序,但是当使用催化剂运行时,如果我在 macOS 上滑动到另一个虚拟桌面,然后再返回大约 10 次,它会间歇性地崩溃。它主要发生在 UICollectionVie
用户 B 从用户 A 拥有的共享记录中删除自己的正确方法是什么?我想我记得从一些 WWDC 视频中用户 B 会删除 CKShare来自他的共享数据库,但在查看用户 A 设备的权限时,该用户似乎仍然是参
对于我们的消息传递应用程序,如果我们将用户消息直接发送到 CloudKit (不做任何我们自己的加密),我们可以声称我们的应用程序是 end-to-end encrypted ,“只有通信用户可以阅读
我之前曾尝试使用 OSX/iOS 应用程序实现 CloudKit,由于我的强制症,我非常担心设备之间某些数据的优先级,以及可能丢失数据或恢复已删除的数据。 我的逻辑是,将从 iCloud 获取的数据和
Apple 发布了一种针对 CloudKit 的服务器到服务器进行身份验证的新方法。 https://developer.apple.com/library/content/documentation
因此根据Apple的文档,未登录iCloud的用户仍然可以从公共(public)数据库中读取数据,但是在查询公共(public)数据库时,我收到以下错误: Error Domain=NSCocoaEr
我需要创建一个CKQuery,其中谓词包含记录的引用,而不是记录的字段。 像这样 let query = CKQuery(recordType: "OUP", predicate: NSPredica
我是一名优秀的程序员,十分优秀!