我正在运行开源解析服务器,并且很好地保护了我的数据库。但是,我的应用程序需要管理员用户,这些用户需要有能力读取和写入几乎所有数据。这是一个安全问题,我想通过双因素身份验证来解决,尽管我对其他想法(IP白名单,cookie或其他(持开放态度。
在我的客户端应用程序上设置它非常简单,我已经做到了,但我希望更安全,以便如果恶意代理拥有我的应用程序 ID(基本上是公共的(并以某种方式获取管理员的凭据,他们仍然无法获得访问权限。
我对如何使用今天的解析服务器完成此操作感到困惑。用户登录没有云代码触发器,因此据我所知,我无法在 Parse 服务器本身上强制实施任何 MFA。
我看到的一种可能性是在各种云代码例程中使用检查一些 MFA 令牌,例如在保存之前、删除之前和查找之前,拒绝对缺乏适当 MFA 的管理员用户的访问。这会完全阻止虚假管理员读取或写入所有数据吗?
上述选项不会阻止攻击者尝试暴力破解 MFA(假设它是 6 位代码(。我也看不到任何限制使用应用程序ID和管理员密码的攻击者登录尝试的方法。这里有什么想法吗?
感谢您的任何提示!
我真的很喜欢添加 2FA 和一个小脚本来管理仪表板上的用户帐户的想法。 您可以在 https://github.com/parse-community/parse-dashboard 上打开功能请求吗?
此外,对于使用身份验证,您可能可以使用自定义身份验证适配器来验证用户名,电子邮件和2FA令牌