会话
会话表示登录到设备的用户实例。当用户登录或注册时会自动创建会话。当用户注销时,它们会自动删除。每个“user-installation”对都有一个不同的Session对象; 如果用户从已经登录的设备发出登录请求,该用户Installation上之前的Session对象将被自动删除。Session对象存储在Parse上的Session类中,您可以在Parse数据浏览器上查看它们。我们提供一组API来管理您应用中的Session对象。
Session是Parse Object的子类,因此您可以以与Parse中操作正常对象相同的方式查询、更新和删除sessions。因为Parse Cloud会在您登录或注册用户时自动创建sessions,因此您不应手动创建Session对象,除非您正在构建“Parse IoT”应用程序(如Arduino或Embedded C)。删除Session将会把正在使用此会话令牌的设备中的用户注销掉。
与其他Parse对象不同,Session类没有Cloud Code触发器。所以你不能为Session类注册一个beforeSave或者afterSave处理程序。
1.Session 属性
Session对象具有以下特殊字段:
- sessionToken(只读):用于在Parse API请求上进行身份验证的字符串令牌。在Session查询响应中,只有当前Session对象包含一个会话令牌。
- user:(只读)指向此会话所用User对象的指针。
- createdWith(只读):有关如何创建此会话的信息(例如{ "action": "login", "authProvider": "password"})。
-
- action可以有以下值:login,signup,create,或upgrade。create action是指开发者通过存储Session对象手动创建会话。upgrade action是指用户从旧会话令牌升级到可撤销会话。
-
- authProvider可以有以下值:password,anonymous,facebook,或twitter。
- restricted (只读):此会话是否受限制,为布尔值。
-
- 受限的会话没有对Parse上的User和Session,和Role类的写入权限。受限的会话也无法读取不受限的会话。
-
- 在用户登录/注册期间,Parse Cloud自动创建的所有会话将不受限制。开发人员从客户端(仅对“Parse for IoT”应用程序)通过保存一个新的Session对象而手动创建的所有会话都是受限的。
- expiresAt(只读):该Session对象将被自动删除时的大约UTC日期。您可以在应用程序的Parse.com dashboard设置页面中配置会话过期时间(1年不活动则到期或无过期)。
- installationId(只能设置一次):表示会话登录位置的Installation字符串。对于Parse SDK,当用户登录或注册时,该字段将自动设置。除installationId外的所有特殊字段,只能由Parse Cloud自动设置。您可以将自定义字段添加到Session对象中,但请记住,任何已登录的设备(带有会话令牌)都可以读取属于同一用户的其他会话(除非您禁用类级权限,请参见下文)。
2.处理无效的session Token错误
对于可撤销会话,如果从Parse Cloud中删除其对应的Session对象,则当前会话令牌可能无效。如果您实现了一个会话管理器UI可允许用户在其他设备上注销,或者手动通过Cloud Code,REST API或数据浏览器删除会话,则可能会发生这种情况。会话也可能由于自动过期(如果在应用设置中配置)被删除。只要设备的会话令牌不再与Parse Cloud上的Session对象相对应时,来自该设备的所有API请求都将失败,并显示“错误209:无效的会话令牌”(Error 209: invalid session token)。
为了处理这个错误,我们建议您编写一个由所有Parse请求错误回调调用的全局公用函数。然后,您可以在此全局函数中处理“无效会话令牌”错误。您应该提示用户再次登录,以便他们可以获得一个新的会话令牌。代码如下所示:
function handleParseError(err) {
switch (err.code) {
case Parse.Error.INVALID_SESSION_TOKEN:
Parse.User.logOut();
... // If web browser, render a log in screen
... // If Express.js, redirect the user to the log in route
break;
... // Other Parse API errors that you want to explicitly handle
}
}
// For each API request, call the global error handler
query.find().then(function() {
...
}, function(err) {
handleParseError(err);
});
3.Session 安全
Session对象只能由用户字段中指定的用户访问。所有Session对象都具有只有该用户可读写的ACL。您不能更改此ACL。这意味着查询会话只会返回与当前登录用户匹配的对象。
当您通过User login方法登录用户时,Parse会自动在Parse Cloud中创建一个新的不受限Session对象。注册操作和Facebook/Twitter登录时也一样。
从客户端SDK手动创建会话对象(创建一个Session实例并保存)始终是受限的。您不能使用对象创建API手动创建一个不受限的会话。
受限会话被禁止创建、修改、或删除User、Session以及Role类中的任何数据。受限会话也无法读取不受限的会话。受限会话对于“Parse for IoT”设备(例如Arduino或 Embedded C)很有用,相对移动应用程序,它们很可能运行在不太可靠的物理环境。但是,请记住,受限会话仍然可以读取User,Session以及Role类的数据,并可以像正常的session一样读/写任何其他类的数据。因此,对于物联网设备,使其处于安全的物理环境,理想情况下使用加密存储来保存会话令牌,仍然至关重要。
如果你想防止受限会话修改User、Session或者Role之外的其他类,你可以为该类写一个Cloud Code beforeSave处理程序:
Parse.Cloud.beforeSave("MyClass", function(request, response) {
Parse.Session.current().then(function(session) {
if (session.get('restricted')) {
response.error('write operation not allowed');
}
response.success();
});
});
您可以像Parse中的其他类一样为Session类配置类级别权限(CLP)。CLP通过Session API 限制会话的读取/写入,但是当用户登录,注册和注销时,不会限制Parse Cloud的自动会话创建/删除操作。我们建议您禁用应用程序不需要的所有CLP。以下是会话CLP的常见用例:
- Find, Delete - 用于构建了UI界面,允许用户在所有设备上查看其活动会话,并在其他设备上注销会话。如果您的应用没有此功能,您应该禁用这些权限。
- Create - 用于“Parse for IoT”应用程序(例如Arduino或嵌入式C),为除手机应用程序之外的其他设备提供受限的用户会话。在构建移动和网络应用程序时,应禁用此权限。对于“Parse for IoT”应用程序,您应该检查您的IoT设备是否实际需要访问用户特定的数据。如果没有,那么您的IoT设备不需要用户会话,您应该禁用此权限。
- Get, Update, Add Field - 除非需要这些操作,否则应禁用这些权限。