Обнаружил, что открыл пару функций для доступа к пользователям с недействительными токенами сеанса. Единственный способ сделать это — перехватить запрос с помощью bodyParser до того, как Parse получит запрос, и удалить sessionToken из запроса.
Теперь пытаюсь лучше управлять авторизацией для всех функций. Мой вопрос:
могу ли я ослабить требование о том, что если sessionToken включен, он должен быть действительным каким-либо другим образом? Выполняется ли проверка токена сеанса с помощью стандартного validationHandler, который можно заменить, или это делается где-то еще?
для управления доступом к облачным функциям, есть ли что-то вроде ролей ACL? принимает ли «validationHandler» облачной функции только параметр? или я могу также проверить объект пользователя?