控制对页面的访问权限

作为应用安全的一个环节,您可以仅允许特定用户访问特定页面。例如,您可以只允许属于“管理员”角色的用户打开包含用户管理工具的页面。

使用页面安全限制页面仅供需要的用户使用,例如管理员工信息的页面。

设置页面的访问权限

如需设置页面的访问权限,请执行以下操作:

  1. 打开应用制作工具
  2. 在左侧边栏中,点击要为其设置权限的页面。
  3. 在属性编辑器中,点击 Security
  4. 点击 Who can see this page? 下拉列表,并选择页面的访问权限类型。您可以将页面安全设置为 Admins OnlyEveryoneRolesScript
  5. 如果您选择 Roles 或 Script,请输入其他信息:

    • Roles - 针对每个角色点击 Add Role,然后从列表中选择一个现有角色。如需添加角色,请点击 Manage Roles
    • Script - 在脚本编辑器中,输入或粘贴服务器授权脚本。
  6. 点击 Save

强制执行页面访问

在页面上设置访问权限后,应用制作工具会在服务器上运行权限检查,以确定用户是否可以访问该页面。

如果用户无权访问某个页面,请执行以下操作:

  • 应用制作工具不会从服务器检索该页面。应用制作工具不会确认该页面存在,并且会返回“找不到页面”错误 (HTTP 404) 响应。
  • 应用制作工具会移除对应用中页面的引用。例如,绑定表达式 (@pages.PageName) 中的引用和脚本 (app.pages.PageName)) 中的页面引用。
  • 应用制作工具没有为用户检索的页面不会存在于 DOM 中,且该页面无法读取。

如需仅向有权访问这些页面的用户显示链接到安全网页的微件,请检查微件的 visible 属性中的用户访问权限。例如,如果仅允许具有“管理员”角色的用户看到用于打开弹出式内容以编辑用户信息的 Edit 按钮,请打开按钮的 visible 属性的绑定编辑器,添加 @user.role.manager

页面安全性不足以保护数据。由于页面和微件可引用其他页面(例如,使用链接),因此了解相应技术的用户可能能够在 DOM 中找到用户无权访问的页面。

页面安全的最佳做法