获取AppId/Key的方式有很多，比如反编译app，比如查看Web App的HTTP请求。

如果被竞争对手获取了Id/Key，是否可以在客户端随意发送短信？比如使用 iOS SDK 来发送：

[AVUser requestMobilePhoneVerify:@"18612345678" withBlock:^(BOOL succeeded, NSError *error) {
 if(succeeded){
     //发送成功
 }
}];

这样的话，就可以达到（1）大幅增加我的短信费用（2）给用户造成恶劣的印象 之类的恶意竞争的目的。

我看过了之前的一个帖子： https://forum.leancloud.cn/t/js-sdk-app-key-rest-api/2674

@wangxiao2015 指出可以使用ACL进行短信发送权限的设置，不过我查看了ACL文档，发现ACL仅涉及到数据的“增/删/查/改”的保护，并没有涉及到短信的发送：

• add_fields：添加新字段到 class
• create：保存一个从未创建过的新对象
• delete：删除一个对象
• find：发起一次对象列表查询
• get：通过 objectId 获取对象
• update：保存一个已经存在并且被修改的对象

请问是我没有找到正确的文档？还是ACL阻止不了客户端短信的发送？

感谢回复，明白了。

如果有可能，希望能在User的ACL中增加新的ACL支持，比如短信、消息推送等等。

这样的话就方便了。