Ho trovato la risposta alla mia domanda qui:
http://stansidel.com/2016/ 03/considerazioni-sulla-sicurezza-del-server-e-aggiornamenti-del-server/
Impostazione di allowClientClassCreation che è una delle opzioni avanzate nella configurazione di Parse Server.
Ho impostato enableAnonymousUsers su false che impedisce chiamate anonime all'API.
Lo snippet di codice pertinente in index.js ora ha il seguente aspetto:
var api = new ParseServer({
databaseURI: databaseUri || 'mongodb://localhost:27017/dev',
cloud: process.env.CLOUD_CODE_MAIN || __dirname + '/cloud/main.js',
appId: process.env.APP_ID || 'myAppId',
masterKey: process.env.MASTER_KEY || '', //Add your master key here. Keep it secret!
serverURL: process.env.SERVER_URL || 'http://localhost:1337/parse', // Don't forget to change to https if needed
enableAnonymousUsers: process.env.ANON_USERS || false,
allowClientClassCreation: process.env.CLIENT_CLASS_CREATION || false,
liveQuery: {
classNames: ["Posts", "Comments"] // List of classes to support for query subscriptions
}
});