想在用户表中加入一下,比如vipDate,表示会员到期日期,这个会不会有安全问题呢如果抓取到请求的key 和 登录的sessionToken, 是不是能模拟请求来修改这个vipDate字段?
如果没有做任何限制,按照数据存储服务对用户表的默认权限配置,一个用户确实可以伪造请求来更新这个用户对应的对象中保存的任意数据。
解决这个问题的办法可以是额外创建一个表,这个表专门用来保存会员到期日期,同时配置这个表的权限使得任何人都无法从客户端更新这个表。与此同时,将更新会员到期日期相关的逻辑写成云函数并部署到云引擎,这样就可以从服务端更新这个表中的数据了。
可以阅读《数据和安全》来了解数据存储服务中与安全有关的配置,以及《云函数和 Hook 开发指南》来了解云函数的用法。