我正在尝试对包含机密信息的页面进行密码保护。
单击链接后,将向用户显示一个弹出对话框以输入密码。如果成功,将用户重定向到页面。否则,显示“密码错误”。
问题是,如果用户只是复制 URL 并将“/exec#ConfidentialPage”添加到 URL 的末尾,这可以很容易地克服。
有什么建议么?
问问题
660 次
1 回答
4
如果可能的话,我强烈反对实施您自己的身份验证系统,而是依靠 Google 登录来保护您的数据。请参阅https://developers.google.com/appmaker/security/secure-your-app。我的简短建议是:
- 创建一个 google 组,其中包含您要访问数据的用户。
- 在包含该组的应用制作工具中创建一个角色
- 限制该角色的成员访问您的数据和您的视图。
这比基于密码的方法安全得多,因为 #1 它由 Google 实施(正确实施您自己的身份验证很困难)和 #2 您有一个以 Google 组的形式访问您数据的每个人的列表。
于 2017-04-06T22:16:58.300 回答