负责不同应用的登录页面
Login page responsible for different applications
我有一个工作区,其中有许多基于相同模式的应用程序。
目前每个应用程序都有自己的登录页面。
我想构建另一个应用程序来负责所有其他应用程序的登录。
登录会将用户重定向到主页,该主页将根据用户类型显示 link 到不同的模块(应用程序)。
请注意,只有 ADMIN 用户才能看到所有应用程序的 link。
不同类型的用户将只能看到他们有权访问的应用程序的 links。
我阅读了其他相关帖子,我知道我必须更改所有要共享身份验证的应用程序的 cookie 名称。
但我的问题是:
如果我使用不同于 ADMIN 的用户成功登录,我仍然可以通过 URL 访问所有应用程序,即使它们的 link 在我的主页中不可见。
我该如何防止这种情况发生?
检查授权方案的使用(参见共享组件)。
如果您有每个应用程序的授权方案,您会检查每个页面,以便当前用户是否获得该应用程序的授权。不要忘记每个授权方案也将允许具有 ADMIN 访问权限的用户。
希望对您有所帮助。
只是有另一个想法。查看 Craig Sykes 的 post http://www.explorer-development.uk.com/securing-vulnerability-exploits-apex-part-2/。
激活会话状态保护并使用校验和可以避免许多问题。
我有一个工作区,其中有许多基于相同模式的应用程序。 目前每个应用程序都有自己的登录页面。
我想构建另一个应用程序来负责所有其他应用程序的登录。 登录会将用户重定向到主页,该主页将根据用户类型显示 link 到不同的模块(应用程序)。
请注意,只有 ADMIN 用户才能看到所有应用程序的 link。
不同类型的用户将只能看到他们有权访问的应用程序的 links。
我阅读了其他相关帖子,我知道我必须更改所有要共享身份验证的应用程序的 cookie 名称。
但我的问题是:
如果我使用不同于 ADMIN 的用户成功登录,我仍然可以通过 URL 访问所有应用程序,即使它们的 link 在我的主页中不可见。
我该如何防止这种情况发生?
检查授权方案的使用(参见共享组件)。
如果您有每个应用程序的授权方案,您会检查每个页面,以便当前用户是否获得该应用程序的授权。不要忘记每个授权方案也将允许具有 ADMIN 访问权限的用户。
希望对您有所帮助。
只是有另一个想法。查看 Craig Sykes 的 post http://www.explorer-development.uk.com/securing-vulnerability-exploits-apex-part-2/。
激活会话状态保护并使用校验和可以避免许多问题。