我在drupal网站上创建了几个页面,并根据我的角色为每个页面设置权限。 问题是如果我知道URL,即使我不是注册和授权用户,我也可以访问该页面。
如果一些随机的人/黑客玩弄URL并遇到应该由授权用户查看的页面,这将是一个问题。
我是Drupal的新手,感谢任何帮助。
答案 0 :(得分:0)
如果您正确设置了权限,它将根据角色限制访问权限,无论他们是否知道URL。您确定在测试时,您实际上已登录或使用无法访问该页面的角色吗?
答案 1 :(得分:0)
Drupal允许您为谁可以创建,编辑和删除内容类型设置权限。您需要一个贡献模块来设置谁可以“查看”各个页面/节点的权限。
从https://drupal.org/project/content_acces下载内容访问权限。安装并配置内容类型的默认值后,您需要在创建页面后单击内容访问选项卡。
'Taxonomy Access Control Lite'非常轻巧,更加用户友好;权限在编辑视图(普通字段)中设置,但是,需要花费一些精力来了解它的工作原理并进行设置。
请参阅https://drupal.org/node/270000
上的节点访问模块的完整列表提示:不要使用多个模块来获取节点访问权限。