PHP SDK可以全程用masterkey请求吗

argzs 2020-02-11 09:33:49 UTC #1

argzs 2020-02-11 09:36:26 UTC #2

目前Class和默认ACL都设置成0 Role, 0 User，可以在SDK相关配置中设置用masterkey访问数据吗

argzs 2020-02-11 09:39:28 UTC #3

我找到了 private static $useMasterKey = true;
还有一个问题，我目前这样ACL的设置是不是可以保证数据不会被篡改，没有安全风险，因为只有后端能用masterkey无视所有ACL，前端即使泄露id和key（或其他手段伪造请求）也无法对数据安全造成威胁？

weakish 2020-02-12 02:36:05 UTC #4

如果是在云引擎或者自己的服务器环境下，全程用 masterkey （Client::useMasterKey(true);）一般是安全的。

通过设置 ACL 保证数据不被篡改是推荐的做法（或者说，app id 和 app key 通常不应当视作秘密数据，因为会在客户端使用，难免会暴露）。

采用 Discourse，启用 JavaScript 以获得最佳效果