Come funzionano i ruoli e le autorizzazioni di sicurezza di CloudKit?

Question

ci sono tre ruoli di protezione predefinite di CloudKit:

• mondo
• autenticato
• Creator

E tre permesso:

• Creare
• Leggi
• Scrivi

Come questi ruoli e le autorizzazioni di protezione funzionano? esempi di alcune delle domande che mi auguro

Qui sono stata prelevata da una spiegazione di ruoli di sicurezza:

• Cosa significano i tre ruoli? I primi due sembrano ovvi, ma l'ultimo sembra meno. Per esempio. Creator si riferisce al creatore del tavolo o al creatore di un record?
• Dove dovrebbe rientrare il permesso di cancellazione? Scrivi?
• È possibile applicare i ruoli di sicurezza a singoli record? Ad esempio, desidero che un utente abbia accesso solo a un sottoinsieme dei record nella tabella InstantMessages: quelli che inviano e quelli che ricevono. Qualcosa di questo tipo può essere fatto tramite i ruoli di sicurezza?)
• Le autorizzazioni sono ereditate ? (Ad esempio, il creatore ottiene tutte le autorizzazioni concesse da creatore, autenticato e mondiale?)
• Le autorizzazioni sono puramente additive? Oppure posso creare un ruolo personalizzato che rimuova i privilegi anziché aggiungerli? (Ad es. Per creare un ruolo di sicurezza "Utente escluso")
• Come si imposta il ruolo su un utente? Posso impostare un ruolo predefinito per ogni utente che viene creato? Posso modificare il ruolo di un utente a livello di programmazione?
• Come si creano nuovi ruoli di sicurezza? Posso crearli/aggiornarli a livello di programmazione?

Answer 1

1) Come funzionano questi ruoli e autorizzazioni di sicurezza? Li si imposta sulla dashboard nell'ambiente di sviluppo.

2) Che cosa significano i tre ruoli? I primi due sembrano ovvi, ma l'ultimo sembra meno. Per esempio. il Creatore si riferisce al creatore del tavolo o al creatore di un disco? - Creatore del record (e ciò significa che tutti i dispositivi che accedono a CloudKit con lo stesso account iCloud)

3) In quale posizione rientrerebbe il permesso di cancellazione? Scrivi? SI

4) I ruoli di sicurezza possono essere applicati ai singoli record? NO

5) (Ad es.Voglio che un utente abbia accesso solo a un sottoinsieme dei record nella tabella InstantMessages: quelli che inviano e quelli che ricevono. Qualcosa di questo genere può essere fatto attraverso i ruoli di sicurezza?) Che cosa significa "accesso"? Un utente può solo leggere cose che la tua app consente loro di leggere e che hanno permesso di leggere. Un utente può solo creare o scrivere (ed eliminare) i record che la tua app consente loro di creare o modificare (e cancellare) e che hanno permesso di creare o scrivere - ci vogliono entrambi.

6) Le autorizzazioni sono ereditate? (Ad esempio, il creatore ottiene tutte le autorizzazioni concesse da creatore, autenticato e mondo?) I ruoli sono sottoinsiemi dell'altro - un creatore è un sottoinsieme di autenticato. autenticato è un sottoinsieme del mondo.

7) Le autorizzazioni sono ... programmaticamente? Le autorizzazioni passano al "creatore" di classe generica "autenticato" "mondo", quindi non è possibile impostare l'autorizzazione per utente (tranne che l'utente che crea un record è l'unico creatore).

Ma la chiave di tutto questo è di ricordare che ci vuole il codice app per concedere creare/leggere/scrivere su un record E l'utente particolare deve avere tale autorizzazione. Quindi puoi fare tutto ciò che vuoi in codice per consentire a chiunque di fare qualsiasi cosa, a patto che tu abbia "autenticato" il diritto di "scrivere"