访问权限控制逻辑

    如图(左侧部分),每个用户可创建多张数据表,通过云存储/云搜索API可实现对数据的增、删、改以及搜索操作; 在使用API接口时,必须传入key,它是访问云数据的一把钥匙(您可通过控制台的Key管理界面自行创建)


每张数据表的API访问权限权限被赋予到key之上,权限分为:

1.读取:包含云搜索、数据列表、查询有访问权限的表结构信息;

2.写入:包含数据新增、修改、删除。

(表的API权限设置操作见下文)


安全配置方法

    数据安全 = 表读/写权限独立设置 + Key安全策略

    为了便于理解,上图(右侧部分)演示了一个key安全配置的实例。实例中对云数据的使用分为两部分:

    一个提供给最终用户APP用于搜索使用的,此场景没有对云数据进行修改的需求,为了安全,仅开放key1读取Table1的权限。

    另一个是开发者自已的服务端的数据,通过Key2访问云存储API(包括增、删、改操作)实现与Table2同步,开放了写入权限,这时会存在Key2泄漏的安全隐患,拿到key2的人也可通过API修改Table2数据。

    对此,我们提供了设置授权IP与签名校验两种方式,以限制调用来源的合法性,保障数据安全,见Key安全设置


表API权限设置

    key访问权限设置可在数据管理台 -> 管理数据界面中,点击 [API权限] 按钮进行设置。


Key安全设置

我们提供了三种Key安全设置,用于不同调用场景的安全需要(您可进入Key管理界面,找到相应Key并点击 设置):

    1.授权域名:

        适用于浏览器端(H5或PCWeb)JSONP方式访问地点云API接口,安全性较低,使用时一定不要开启表写入权限

    2.IP白名单:

        适用于服务端访问地点云API,用于限制此key的调用来源IP,优点:配置简单,无需开发,但IP地址有变化时,必须同时修改配置

    3.签名校验:

        适用于服务端访问地点云API,与授权IP方式比较,使用签名校验稍有开发量,但不必担心服务器换IP的问题。

        签名校验计算方法:GET请求POST请求

这篇文章对您解决问题是否有帮助?

已解决
未解决