Na tela grande/página do relatório após o compartilhamento público, uma vez que a conta de login do usuário não é necessária, as permissões em nível de linha do modelo de dados na página , a caixa de correio do usuário incorporada na modelagem SQL e o back-end da API para obter o atual o usuário conectado precisa da conta de login do usuário para prosseguir. Nenhuma das funções de restrição de permissão está disponível. No entanto, em alguns cenários, espera-se que essas funções de permissão também tenham efeito em páginas compartilhadas publicamente. Portanto, projetamos a função de "identificar usuários em páginas compartilhadas por meio de parâmetros de URL". Essa função é aplicável a cenários como:
- Incorpore a página de compartilhamento de tela/relatório grande do Sugar BI no sistema de terceiros e permita que as funções de restrição de permissão, como permissões em nível de linha, entrem em vigor, mesmo que o usuário não precise fazer login na conta do Sugar BI
- Incorpore a tela grande/página de relatório do Sugar BI no sistema de terceiros para resolver o problema de que o navegador não pode fazer login na conta do Sugar BI em condições de domínio cruzado (restrições de cookies de domínio cruzado no kernel do navegador Chrome), mas deseja impedir que os usuários acessem o problema de permissões de tela grande/página de relatório
As páginas compartilhadas identificam os usuários por meio de parâmetros de URL
Tomando as permissões de nível de linha do modelo de dados como exemplo, especificamos que [email protected]o usuário Zhang San ( ) tem 华北as permissões de dados de nível de linha da região. Na página compartilhada publicamente, o gráfico na página relatará um erro da seguinte forma :
Para que as permissões em nível de linha também entrem em vigor na página de compartilhamento público, na caixa pop-up de configuração da página de compartilhamento público, ela precisa ser habilitada da seguinte maneira:
Além disso, ao acessar a página de compartilhamento público, sugar_sign_user_email os parâmetros precisam ser adicionados ao URL e atribuídos como o endereço de e-mail do usuário de destino. Conforme mostrado abaixo, podemos ver que [email protected]o usuário Zhang San ( ) tem 华北a permissão de dados em nível de linha de a região:
Se definirmos o [email protected]usuário Li Si ( ) para ter 华东a permissão de dados em nível de linha da região, conforme mostrado abaixo:
Além das permissões de nível de linha do modelo de dados no exemplo acima , a incorporação de caixas de correio de usuário na modelagem SQL mencionada acima e a aquisição do usuário conectado no momento no back-end da API também podem ser implementadas de maneira semelhante .
Adulteração de canais de parâmetros de URL que identificam usuários
Para o cenário acima, você deve ter percebido que existe um risco de segurança de acesso não autorizado aos dados. Usuários com certa base técnica podem sugar_sign_user_email simular as permissões de dados de qualquer outro usuário modificando o valor do parâmetro na URL, que tem perigos ocultos na segurança dos dados.
Em resposta a esse problema, a fim de evitar que os usuários modifiquem os parâmetros de URL à vontade, recomendamos que você escolha o método "Pass Token Verification" ao compartilhar publicamente e consulte a verificação de assinatura do parâmetro Token na página de compartilhamento. Nesse caso , sugar_sign_user_email os parâmetros serão criptografados e calculados no parâmetro de assinatura, para garantir que o usuário não possa modificar o parâmetro à vontade.
O acesso à página também é limitado pelo parâmetro de ID do usuário
Com base no documento da seção anterior, também podemos controlar o acesso do usuário e os direitos de navegação à página. Por exemplo, definimos Zhang San ( ) [email protected]para ter direitos de navegação, mas Li Si ( [email protected]) não tem direitos de navegação. Para obter detalhes sobre como definir as permissões de navegação do usuário para a página, consulte Gerenciamento de permissões .
Habilite "O acesso à página também é restrito pelo parâmetro de ID do usuário" da seguinte forma:
Neste momento, quando a atribuição do parâmetro de URL é Zhang San ([email protected]):
Se a atribuição do parâmetro de URL for Li Si ( [email protected]):
O Sugar BI suporta um teste gratuito e todos são bem-vindos para experimentá-lo!