匿名用户或者非管理员用户不能查看 organization unit 页面：

http://cloudapp.azure.com:4201/powertools-spa/en/USD/organization

期望的行为：

Redirect to login. Anonymous users must not see this page as it reveals the available components of an organization.

只有管理员才能访问。

原因：

Doesn’t conform with product security standard SEC-248.

分析

这主要是体验问题，而不是安全威胁。

OCC API 受到保护，如果没有访问令牌，您将无法获取任何安全数据。

CMS 组件受到保护，您可以限制在 OCC CMS 中公开它们。

CMS 页面不受保护，但只会公开页面元信息（即标题）而不是实际内容。

Spartacus 已经做了足够的工作来保护路由/组件。真正的问题在于 OCC CMS (CMSX-8491)。
对于这种情况，我们已经在 /organization 登陆页面的示例数据中保护了 CMS 组件。这超出了我个人的野心，但现在我们拥有了，我们可以保持这样。

在这种特定情况下，机密性影响可以忽略不计。未经授权的用户（包括匿名用户）只能看到没有严格保密要求的内容。例如，用户可以看到横幅并可以点击链接，但是 OCC API 中的守卫阻止然后看到任何机密信息。

如果其他 CMS 页面实际上包含机密数据，则情况可能略有不同。在这种情况下，斯巴达克斯几乎无能为力。攻击者可以直接使用 OCC CMS API 绕过任何 Spartacus 特定的安全控制。因此，此类安全控制必须由 OCC API 实现，请参阅 CMSX-8491。

下列的 impex 可以为 CMS component 增加访问控制：

INSERT_UPDATE CMSUserGroupRestriction;$contentCV[unique=true];uid[unique=true];name;userGroups(uid);includeSubgroups;components(&componentRef)
;;MyCompanyLinkAdminGroupRestriction;My Company Link Admin Group Restriction;b2badmingroup;true;BudgetsHomeLink,CostCentersHomeLink,UnitsHomeLink,UsersHomeLink,UserGroupsHomeLink,PurchaseLimitsHomeLink

最后的决定：匿名用户也能访问 b2b organization page, 但是看不到任何敏感信息。

关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题相关推荐

SAP 电商云 Spartacus UI 产品搜索结果的设计明细
我们使用如下 url 访问 SAP 电商云 Spartacus UI 产品搜索页面: http://localhost:4000/electronics-spa/en/USD/search/sony ...
SAP 电商云 Spartacus UI ComponentDataProvider defer 工厂函数
为什么 this.componentService.getItems 最后就触发到 Component-data.provider.ts 工厂函数的执行了? 29行的 getService: getS ...
SAP 电商云 Spartacus UI 里如何捕捉语言设置的更改
我们知道在 SAP 电商云 Spartacus UI 里,用户可以通过下拉菜单更改当前访问 site 的语言: 监控语言变化的代码: this.subscription.add(this.langua ...
SAP 电商云 Spartacus UI Proxy Facade 的一个实际例子
如何理解 SAP 电商云 Spartacus UI 中的 proxy facade? Jerry 这篇文章什么是 SAP 电商云 Spartacus UI 的 proxy façade提供了理论上的解 ...
Mobile first 设计思路在 SAP 电商云 Spartacus UI 中的设计体现一例
关于 Mobile First 的概念,请查看我这篇文章:什么是前端开发中的 mobile first 策略. 下图是 SAP 电商云 Spartacus UI 的搜索结果页面: 其布局设计:temp ...
在 SAP 电商云 Spartacus UI 里手动注入 module 的几种排列组合
先把所有的排列组合罗列如下: (1) 通过构造函数注入 QuickOrderFacade,但不调用其方法 (2) 通过构造函数注入 QuickOrderFacade,调用其方法 (3) 手动通过 in ...
SAP 电商云 Spartacus UI Quick Order 主页的实现
存货单位(英語:stock keeping unit,SKU/ˌɛsˌkeɪˈjuː/),也翻译为库存单元,是一個會計學名詞,定义为库存管理中的最小可用单元,例如纺织品中一个SKU通常表示规格.颜色. ...
SAP 电商云 Spartacus UI 从 CMS 取回 slots 和 component 之后的处理
从前一篇文章SAP 电商云 Spartacus UI 的双重 layout 配置层设计我们得知,Spartacus 层面的 layout-config.ts 可以控制 page template 应 ...
SAP 电商云 Spartacus UI 产品明细页面路由路径的自定义配置
如下图所示,为了减少 SAP 电商云 Spartacus 客户实施时不必要的配置,Spartacus 将不少页面的路由路径的默认配置,定义在如下的 default-routing-config.ts ...

关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题

分析

关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题相关推荐

最新文章

热门文章