匿名用戶或者非管理員用戶不能查看 organization unit 頁面：

http://cloudapp.azure.com:4201/powertools-spa/en/USD/organization

期望的行為：

Redirect to login. Anonymous users must not see this page as it reveals the available components of an organization.

只有管理員才能訪問。

原因：

Doesn’t conform with product security standard SEC-248.

分析

這主要是體驗問題，而不是安全威脅。

OCC API 受到保護，如果沒有訪問令牌，您將無法獲取任何安全數據。

CMS 組件受到保護，您可以限制在 OCC CMS 中公開它們。

CMS 頁面不受保護，但只會公開頁面元信息（即標題）而不是實際內容。

Spartacus 已經做了足夠的工作來保護路由/組件。真正的問題在于 OCC CMS (CMSX-8491)。
對于這種情況，我們已經在 /organization 登陸頁面的示例數據中保護了 CMS 組件。這超出了我個人的野心，但現在我們擁有了，我們可以保持這樣。

在這種特定情況下，機密性影響可以忽略不計。未經授權的用戶（包括匿名用戶）只能看到沒有嚴格保密要求的內容。例如，用戶可以看到橫幅并可以點擊鏈接，但是 OCC API 中的守衛阻止然后看到任何機密信息。

如果其他 CMS 頁面實際上包含機密數據，則情況可能略有不同。在這種情況下，斯巴達克斯幾乎無能為力。攻擊者可以直接使用 OCC CMS API 繞過任何 Spartacus 特定的安全控制。因此，此類安全控制必須由 OCC API 實現，請參閱 CMSX-8491。

下列的 impex 可以為 CMS component 增加訪問控制：

INSERT_UPDATE CMSUserGroupRestriction;$contentCV[unique=true];uid[unique=true];name;userGroups(uid);includeSubgroups;components(&componentRef) ;;MyCompanyLinkAdminGroupRestriction;My Company Link Admin Group Restriction;b2badmingroup;true;BudgetsHomeLink,CostCentersHomeLink,UnitsHomeLink,UsersHomeLink,UserGroupsHomeLink,PurchaseLimitsHomeLink

最后的決定：匿名用戶也能訪問 b2b organization page, 但是看不到任何敏感信息。

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。