Как проверить доступ к странице и сделать редирект при отсутствии доступа
В SQL страницы мы можем получить username пользователя. Проверить на основе него, есть ли у него доступ к объекту, определяемый через itemID (например Товар с ID=5).
Если нет доступа, то надо сделать редирект через SELECT2 redirectUrl.
Как это может выглядеть:
CREATE PROCEDURE [dbo].[pg_crumbs_blog]
@roles nvarchar(128),
@itemID nvarchar(128) = '',
@urlParameters CRUDFilterParameter READONLY
AS
BEGIN
declare @username nvarchar(max) = ( select top 1 Value from @urlParameters where [key]='username') -- username на уровне системы добавляется, а не через URL
if(.... тут некое условие, в плане есть ли доступ у @username к itemID...) begin
select 1
select '/noaccess' RedirectUrl
return
end
-- ...
END
Важно именно отдельно проверить доступ (как показано выше), а не просто установить переменную @RedirectUrl (т.е. где то SELECT 2 может быть без строк и тогда защита не сработает).
ВАЖНО! RedirectUrl никак не защищает таблицы, формы на этой странице, т.к. злоумышленник может отдельно запросить данные для таблиц/форм через прямые запросы. Поэтому проверка прав доступа должна быть реализована на всех уровнях, где выполняется действие на чтение или запись (т.е. в для формы проверка доступа должна быть и в GetItem и SaveItem).
Страница-источник на сайте falconspace.ru
-
Начало работы
-
Основа Falcon Space
-
Руководства
-
Возможности
-
Коммуникация пользователей
-
Таблицы
-
Формы
-
Поля формы
-
Лендинги
-
Дизайн, стилизация, юзабилити
-
Интеграции
-
Универсальный API
-
Каталоги
-
Навигация
-
Документы
-
Работа с искусственным интеллектом
-
Дополнительные компоненты
-
Продвижение, SEO
-
Системные моменты
Отслеживание изменений хранимых процедур и страниц (logChanges) Логирование изменений объектов на примере хранимых процедур Работа с редактором кода в личном кабинете разработчика Логирование событий в приложении (trace) Действия в браузере actions JSON Как быстро перенести решение (таблицы, формы, страницы) на другую базу? Настройка диалоговых окон и alert окошек Мелкие удобства для разработчика в личном кабинете Как отследить и ограничить большое количество однородных запросов на сайте Изменение процедуры поиска, процедуры общих элементов Layout, процедуры периодического запуска Как изменить длительность показа сообщений Форма обратной связи по ошибкам, предложениям suggestion Как разграничивать права на уровне бизнес-логики хранимых процедур Безопасная обработка данных и проверка доступа в хранимых процедурах Использование типовой разметки в виде сниппетов для решения различных задач Как логировать клики на определенных элементах в системе Обработка старых браузеров (сообщение об устаревшем браузере) Безопасность. Как скрыть некоторые заголовки (http headers) в запросах Отображение сообщения об offline (Нет сети) Рабочее место разработчика через терминал Как обойти проблему с DNS при атаке на DNS сервера (работа с сайтом через IP сервера без домена) Обновляемые метки времени в сообщениях на сайте Подсказка по интерфейсам хранимых процедур компонентов Защита от CSRF атак через дополнительный токен в формах Дополнительные параметры в @parameters (во многих хранимых процедурах) Как логировать события в Falcon в другую базу (чтобы ограничить рост основной базы данных) Сообщение об использовании куки (Cookies) Как искать код некоего компонента (таблицы, формы и т.д.) на странице Как сделать так, чтобы почта отправлялась асинхронно без задержек Работа со сниппетами кода Универсальная кнопка действия as_submit Режим показа таблицы/формы в alert окне Реализация системы анализа IP посетителей Метки локализации в as.resources.js Вывод markdown разметки в виде HTML Как создать простую капчу на основе вопросов/ответов Установка и обновление SQL пакетов Как проверить доступ к странице и сделать редирект при отсутствии доступа Логирование деталей визита пользователя в as_visitInfo
-
Системное администрирование
-
HOWTO
-
Загрузка файлов, картинок
-
HOWTO SQL
-
HOWTO JS
-
HOWTO Верстка
-
Решение проблем
-
Советы по реализации