Murayama blog.

プログラミングと、その次の話

AndroidでParse入門 - Security -

元ネタ

こちらを参考にSecurityについてまとめます。
https://parse.com/docs/android_guide#security-recommendations

前回の記事はこちら。
AndroidでParse入門 - Handling Errors - - Murayama blog.

Security

Parseはアプリケーションの構築において可能な限りデータアクセスを制限することを強く推奨しています。具体的にはアプリケーションの初期化時に、Anonymous Userの作成Current UserへのデフォルトACLの適用を定義することを推奨しています。また、データを不正アクセスから守るために、個々のオブジェクトにPublicな書き込み制限(および、読み込み制限)を明示的に設定するようにします。

アプリケーションのスタートアップ処理の中で次のように実装します。

ParseUser.enableAutomaticUser();
ParseACL defaultACL = new ParseACL();
// Optionally enable public read access while disabling public write access.
// defaultACL.setPublicReadAccess(true);
ParseACL.setDefaultACL(defaultACL, true);

データへのセキュアなアクセスを保つことを念頭において、あなたとユーザの両方を保護するアプリケーションを構築してください。

Settings

セキュアなコーディングに加えて、アプリケーションの設定画面においても、アプリケーションへのアクセス制限が適切な設定となっているか確認してください。

たとえば、Facebookアカウントなしでログインできないように設定するなら、その他のログインメカニズムを無効にしておくべきです。指定したFacebookアプリケーションID、Twitterコンシューマキーといった情報は、ユーザのログインの都度サーバサイドでの検証が有効となっています。