登錄頁面負責不同的應用程序

Question

我有一個工作區，其中我有許多基於相同模式的應用程序。 目前，每個應用程序都有自己的登錄頁面。

我想構建另一個應用程序負責所有其他應用程序的登錄。 登錄會將用戶重定向到主頁面，該主頁面將根據用戶類型顯示指向不同模塊（應用程序）的鏈接。

請注意，只有ADMIN用戶才能看到指向所有應用程序的鏈接。 不同類型的用戶只會看到他們有權訪問的應用的鏈接。

我讀過其他相關帖子，我知道我必須更改所有我想共享驗證的應用程序的cookie名稱。

但我的問題是：

如果我從ADMIN不同用戶成功登錄，我仍然能夠訪問通過URL的所有應用程序，即使他們的鏈接是不可見的在我的主頁。

我該如何預防？

Answer 1

檢查授權方案的使用（請參閱共享組件下的內容）。

如果您有每個應用程序的授權方案，請在每個頁面上進行檢查，以便當前用戶授權該應用程序。不要忘記，每個授權方案還允許具有ADMIN訪問權限的用戶。

希望這會有所幫助。

剛剛又有了一個念頭。看看Craig Sykes的http://www.explorer-development.uk.com/securing-vulnerability-exploits-apex-part-2/這篇文章。

激活會話狀態保護並使用校驗和可以防止許多問題。