关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题
匿名用戶或者非管理員用戶不能查看 organization unit 頁面:
http://cloudapp.azure.com:4201/powertools-spa/en/USD/organization
期望的行為:
Redirect to login. Anonymous users must not see this page as it reveals the available components of an organization.
只有管理員才能訪問。
原因:
Doesn’t conform with product security standard SEC-248.
分析
這主要是體驗問題,而不是安全威脅。
OCC API 受到保護,如果沒有訪問令牌,您將無法獲取任何安全數據。
CMS 組件受到保護,您可以限制在 OCC CMS 中公開它們。
CMS 頁面不受保護,但只會公開頁面元信息(即標題)而不是實際內容。
Spartacus 已經做了足夠的工作來保護路由/組件。真正的問題在于 OCC CMS (CMSX-8491)。
對于這種情況,我們已經在 /organization 登陸頁面的示例數據中保護了 CMS 組件。這超出了我個人的野心,但現在我們擁有了,我們可以保持這樣。
在這種特定情況下,機密性影響可以忽略不計。未經授權的用戶(包括匿名用戶)只能看到沒有嚴格保密要求的內容。例如,用戶可以看到橫幅并可以點擊鏈接,但是 OCC API 中的守衛阻止然后看到任何機密信息。
如果其他 CMS 頁面實際上包含機密數據,則情況可能略有不同。在這種情況下,斯巴達克斯幾乎無能為力。攻擊者可以直接使用 OCC CMS API 繞過任何 Spartacus 特定的安全控制。因此,此類安全控制必須由 OCC API 實現,請參閱 CMSX-8491。
下列的 impex 可以為 CMS component 增加訪問控制:
INSERT_UPDATE CMSUserGroupRestriction;$contentCV[unique=true];uid[unique=true];name;userGroups(uid);includeSubgroups;components(&componentRef) ;;MyCompanyLinkAdminGroupRestriction;My Company Link Admin Group Restriction;b2badmingroup;true;BudgetsHomeLink,CostCentersHomeLink,UnitsHomeLink,UsersHomeLink,UserGroupsHomeLink,PurchaseLimitsHomeLink最后的決定:匿名用戶也能訪問 b2b organization page, 但是看不到任何敏感信息。
創作挑戰賽新人創作獎勵來咯,堅持創作打卡瓜分現金大獎總結
以上是生活随笔為你收集整理的关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: FGO弗朗西斯·德雷克好用
- 下一篇: SAP 电商云 Spartacus UI