gpt4 book ai didi

javascript - 如何限制每个用户对 aws javascript dynamodb 的条目?

转载 作者:行者123 更新时间:2023-11-30 06:28:07 25 4
gpt4 key购买 nike

使用亚马逊刚刚发布的 javascript web sdk,如何防止用户(即使在联合身份验证之后)滥用对数据库的访问?

例如,您如何限制他们可以为字段提交的字符串的长度?

此外,您如何限制他们为多行表格提交的条目数?或者在 s3 上,限制他们可以提交的文件数量或文件大小?

我可以想象如何在 node.js 实现中控制它,但似乎有人可以在客户端编写自己的脚本来规避规则。

编辑:只是为了澄清我们正在讨论的是哪个 SDK:AWS SDK for JavaScript in the Browser

最佳答案

我建议这个问题的唯一好的答案是非常直截了当,即使您可能不喜欢它:“不要让他们直接访问资源”,紧接着是“不要相信任何人”。您的服务凭据只属于完全受信任的实体手中,无论这些凭据在理论上授权什么,所以我不确定您要保护的对象是谁。

您可以通过验证他们对您的应用程序服务器的请求并将请求发送至数据库或其他底层系统(或不发送)来限制他们可以提交的字段的大小,具体取决于请求是否有效。如果此时在您的堆栈中正确实现,则无论客户端发生什么,此类限制都不可能被违反,相反,任何假定客户端行为正确、可预测、合理且按预期运行的实现都是确实是非常天真的实现。

控制这些东西是您的应用程序服务器的工作,通过您的 API 接收客户端请求——您为您的应用程序设计的用于与客户端交互的 API——验证它们,并发送调用到底层系统来满足它认为合法的那些请求。

关于javascript - 如何限制每个用户对 aws javascript dynamodb 的条目?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19742144/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com