作为应用安全的一个环节,您可以仅允许特定用户访问特定页面。例如,您可以只允许属于“管理员”角色的用户打开包含用户管理工具的页面。
使用页面安全限制页面仅供需要的用户使用,例如管理员工信息的页面。
设置页面的访问权限
如需设置页面的访问权限,请执行以下操作:
- 打开应用制作工具。
- 在左侧边栏中,点击要为其设置权限的页面。
- 在属性编辑器中,点击 Security。
- 点击 Who can see this page? 下拉列表,并选择页面的访问权限类型。您可以将页面安全设置为 Admins Only、Everyone、Roles 或 Script。
如果您选择 Roles 或 Script,请输入其他信息:
- Roles - 针对每个角色点击 Add Role,然后从列表中选择一个现有角色。如需添加角色,请点击 Manage Roles。
- Script - 在脚本编辑器中,输入或粘贴服务器授权脚本。
点击 Save。
强制执行页面访问
在页面上设置访问权限后,应用制作工具会在服务器上运行权限检查,以确定用户是否可以访问该页面。
如果用户无权访问某个页面,请执行以下操作:
- 应用制作工具不会从服务器检索该页面。应用制作工具不会确认该页面存在,并且会返回“找不到页面”错误 (HTTP 404) 响应。
- 应用制作工具会移除对应用中页面的引用。例如,绑定表达式 (
@pages.PageName
) 中的引用和脚本 (app.pages.PageName)
) 中的页面引用。 - 应用制作工具没有为用户检索的页面不会存在于 DOM 中,且该页面无法读取。
如需仅向有权访问这些页面的用户显示链接到安全网页的微件,请检查微件的 visible 属性中的用户访问权限。例如,如果仅允许具有“管理员”角色的用户看到用于打开弹出式内容以编辑用户信息的 Edit 按钮,请打开按钮的 visible 属性的绑定编辑器,添加 @user.role.manager
。
页面安全性不足以保护数据。由于页面和微件可引用其他页面(例如,使用链接),因此了解相应技术的用户可能能够在 DOM 中找到用户无权访问的页面。