OKAUEND
commented
1 year ago SupaBaseのOAuth認証周り
SignIn時に、アカウントを作成していなかったらログイン失敗などは、SupaBaseの仕様で出来ない。 タイラー氏や開発陣の思想として、何かサービスを使うときにOAuth認証時に登録しようとした時にすでにアカウントがある場合自動ログインしてくれる方が嬉しい、という考えがあるみたいなので、今後も分かれる可能性は低い。 なので、管理者専用画面でproviderを限定し管理者用ログイン画面を作るのは、/controlがバレるため変更したほうがいいと判断。
課題
/controlを入力するとアクセス権限がないユーザーでも管理者画面周りのページを見れる 管理者画面でログインがあるため、直リンクをするとユーザーがそこでログインをしてしまう
現状
直接アクセスでユーザーに管理者ページの存在を知られる可能性がある リダイレクトでトップページへ戻しているが、管理者画面でログイン画面を挟んでいるので、ページの存在は知られる アクセス出来ることで、知られてほしくないページを知られるので、管理上あまりよい状態ではない
どのようにしたいか
管理者ページはユーザーに知られたくないため、アクセスされたくない 権限がないユーザーがアクセスをすると、404ページを出現させ、管理者ページ自体を存在しない事にしたい
実装する事
管理者画面にあるログイン機能を、TOPページへ移動しユーザーのログイン画面と共有とする /contorolへアクセスすると、管理者権限を持ったUUID以外は、throw New Errorでエラーを発生させ、ErrorBundaryを利用し404ページを表示する