Авторизация в Microsoft Azure Mobile Services на уровне администратора с использованием Master KeyДанный пост является продолжением вопроса поднятого во время трех моих вебинаров на тему "Разработка HTML 5 приложений с использованием Microsoft Azure Mobile Services". Если вы не участвовали в вебинарах, то их можно посмотреть в записи:
В этом коротком посте я хотел рассказать как нам пройти проверку авторизации и выполнить запрос к сервису с правами администратора. Давайте представим что у нас есть следующий код создания клиента для подключения к службе Microsoft Azure Mobile Services: А также у нас есть следующий код для вставки записи в таблицу: Этот код работает только в том случае, если на операцию вставки в таблицу установлены права Anybody with the Application Key. Но сам параметр Application Key является публичным и его знает каждый наш пользователь. Если мы хотим разрешить метод вставки только администраторам, то нам необходимо сделать 2 вещи: 1. На портале Microsoft Azure для желаемой операции (в нашем случае это вставка в таблицу category) установить права доступа Only Scripts and Admins. 2. Переписать создание нашего клиента к сервису следующим образом: Дргими словами нам нужно добавить в запрос заголовок с именем X-ZUMO-MASTER и значением равным параметру Master Key нашего сервиса. Таким образом мы можем ограничить доступ к нашему сервису используя Master Key. Учитывая что в JavaScript весь код вляется открытым, то задачу защиты Master Key от сторонних глаз нужно решать отдельно и это мы обсудим чуть позже.
Автор статьи: Антон Бойко (boyko.ant@live.com) Данный материал написан участником сообщества. В статье представлено мнение автора, которое может не совпадать с мнением корпорации Microsoft. Microsoft не несет ответственности за проблемы в работе аппаратного или программного обеспечения, которые могли возникнуть после использования материалов данной статьи. |