다중 사용자 웹 응용 프로그램이 있습니다. 관리자가 로그인하면 모든 메뉴가 활성화됩니다. 사용자가 로그인하면 제한된 기능 만 허용됩니다.
사용자의주의가 필요한 작업 (예 : 새 프로젝트 할당)이 필요할 때 관리자는 올바른 페이지의 URL이 포함 된 메일을 사용자에게 보냅니다. 그런 다음 사용자는 자격 증명없이 페이지로 이동하여 필요한 작업을 수행 할 수 있습니다.
이제 문제는 관리자가 시스템에 로그인 할 때 사용자에게 메일을 트리거하고 로그 오프하지 않는 경우입니다. 사용자가 다른 탭 (IE / Chrome) 또는 동일한 페이지에서 페이지를 여는 링크 (이메일)를 클릭하면 사용자는 관리자가 사용할 수있는 모든 옵션을 볼 수 있습니다.
이것은 프로덕션 중심의 문제는 아니지만 클라이언트 데모에서이 보안 위반이 확대되고 있습니다.
또한 사용자가 접근하려는 페이지는 적절한 메뉴 항목을 통해 관리자와 사용자가 액세스 할 수 있습니다. 이로 인해 페이지로드에 몇 가지 조건을 적용 할 수 없습니다.
이제 이미 로그인 한 사람에 관계없이 허용 된 옵션 만 보도록 사용자를 제한하려면 어떻게해야합니까?
쿠키 또는 HTTP 인증은 동일한 브라우저의 모든 탭에서 공유되므로 이미 로그인 한 상태에서 링크를 클릭하면 로그인 된 상태로 유지됩니다.
가능한 해결책:
www.example.com/task/1232
"인 경우 이메일의 링크는 " www.example.com/task/1232/reauth
" 이므로 응용 프로그램에서 액세스를 허용하기 전에 사용자 이름과 비밀번호를 요청하게됩니다. 이를 확장 www.example.com/task/1232/user/4545
하고 사용자가 아직 사용자 ID 4545로 로그인하지 않은 경우에만 앱이 재 인증을 요청하는 " " 형식의 URL을 가질 수 있습니다.이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다