Parse PFUser.current（）對象的安全性如何？

Question

我對Parse安全性有疑問，希望有人能給我一些指導和建議。

我正在開發一款游戲，用戶可以在其中積累稱為黃金的游戲資源。

為了跟蹤每個用戶有多少黃金，我有一個名為Resource的Parse類。 此類是公共可讀的（通過獲取，找不到），但不是公共可寫的。

User類和Resource類通過以下兩種方式鏈接：User類中的每個對象都有一個名為resourceId的屬性，該屬性是屬於用戶的Resource對象的objectId 。 因此，玩家可以閱讀（直通）自己的資源以及朋友的資源。 並且Resource類中的每個對象都有一個指向User類中用戶的指針

在游戲中，用戶可以旋轉獎輪以獲得金獎。 當用戶旋轉方向盤時，客戶端將調用雲代碼函數並傳遞單個參數，即PFUser.current()對象。

雲代碼生成一個隨機數以確定獎品，然后將獎品寫入Resource類。 為了確定要寫入哪個Resource對象，雲代碼執行以下(PFUser.current())操作：（1）從參數(PFUser.current())讀取resourceId ，以及（2）使用該resourceId ，獲取相關的Resource對象，然后檢查用戶指針是否指向與參數本身相同的User對象（再次是PFUser.current() ）。

所以我的問題是，我的設置是否可以防止有人試圖旋轉另一個用戶的獎金輪？ 受感染的客戶端設備能否修改PFUser.current()對象並假裝為另一個用戶？ 是否有更好的方法來實現我想做的事？

Answer 1

用這個：

Parse.Cloud.define("myFunction", function (request, response) {

var senderUser = request.user;

//your code

});

與傳遞PFUser.current()作為參數相比，這絕對是更好的方法-它在內部與Parse SDK一起使用，這意味着比參數更難偽造它。