search

shzlw / poli

An easy-to-use BI server built for SQL lovers. Power data analysis in SQL and gain faster business insights.
https://shzlw.github.io/poli
MIT License
1.97k stars 331 forks source link

[bug] apiKey的两个问题 #30

Closed czy1994 closed 5 years ago

czy1994 commented 5 years ago

1.安全问题:当分享一个报表给其他应用系统时,url为:http://localhost:6688/poli/workspace/report/fullscreen?$toReport=reportname&$apiKey=apikey 这里的$apiKey目的是登录验证,但是也带来一个问题,我用以下地址: http://localhost:6688/poli/workspace/report?$apiKey=apikey 同样可以访问分享人的report页面,导致报表权限泄露。如下图(未登录状态): http://ww1.sinaimg.cn/large/006y4X83gy1g5k2lykea1j31hc0smgn9.jpg

  1. i18n问题:当分享报表时,使用的是默认en语言,不是应用定义的zh语言。

by the way , @shzlw ,这个项目挺好,多谢开源!

shzlw commented 5 years ago

谢谢使用Poli!

有关权限问题,我当初的想法是允许嵌入/分享单个report (/fullscreen),也允许嵌入整个页面 (/report),刚查了code感觉当时这个share/embed feature没有想仔细,准备再细想一下。

第二个是bug。

czy1994 commented 5 years ago

hi, @shzlw ,你好! 允许嵌入/分享单个report(/fullscreen)这个需求是有实际应用需求的。权限问题的优化,是否可以采用以下思路:分享report专门有一个按钮,可以设定有效期,分享时生成一个特定的url(该url可以免登录,记录分享的用户id,以用于控制数据行级权限),并将记录落地数据库,可以让管理员查到具体分享出去了多少报表,修改有效期等操作。 以上是我的个人想法,应该还有不妥之处。

shzlw commented 5 years ago

分享report专门有一个按钮,可以设定有效期,分享时生成一个特定的url 这个改动已经在以前的roadmap里想好了。

并将记录落地数据库,可以让管理员查到具体分享出去了多少报表,修改有效期等操作 这个没有想到过,谢谢提供建议!

shzlw commented 5 years ago

第一个bug和第二个分享需求已经在新版本v0.10.0中实现。