Closed czy1994 closed 5 years ago
谢谢使用Poli!
有关权限问题,我当初的想法是允许嵌入/分享单个report (/fullscreen),也允许嵌入整个页面 (/report),刚查了code感觉当时这个share/embed feature没有想仔细,准备再细想一下。
第二个是bug。
hi, @shzlw ,你好! 允许嵌入/分享单个report(/fullscreen)这个需求是有实际应用需求的。权限问题的优化,是否可以采用以下思路:分享report专门有一个按钮,可以设定有效期,分享时生成一个特定的url(该url可以免登录,记录分享的用户id,以用于控制数据行级权限),并将记录落地数据库,可以让管理员查到具体分享出去了多少报表,修改有效期等操作。 以上是我的个人想法,应该还有不妥之处。
分享report专门有一个按钮,可以设定有效期,分享时生成一个特定的url 这个改动已经在以前的roadmap里想好了。
并将记录落地数据库,可以让管理员查到具体分享出去了多少报表,修改有效期等操作 这个没有想到过,谢谢提供建议!
1.安全问题:当分享一个报表给其他应用系统时,url为:http://localhost:6688/poli/workspace/report/fullscreen?$toReport=reportname&$apiKey=apikey 这里的$apiKey目的是登录验证,但是也带来一个问题,我用以下地址: http://localhost:6688/poli/workspace/report?$apiKey=apikey 同样可以访问分享人的report页面,导致报表权限泄露。如下图(未登录状态): http://ww1.sinaimg.cn/large/006y4X83gy1g5k2lykea1j31hc0smgn9.jpg
by the way , @shzlw ,这个项目挺好,多谢开源!