intra-mart Accel Platform IM-Workflow プログラミングガイド 第20版 2018-04-01

8.8. ユーザコンテンツ画面への不正な直接アクセスを抑止する

ここで記載している内容は、次の観点で共通です。
  • クライアントタイプ
IM-Workflow 標準機能では、IM-Workflow の各種一覧画面からユーザコンテンツ画面に遷移することができます。
この場合、IM-Workflow の標準機能は、ログインユーザが対象のコンテンツ画面の表示権限を保持しているか判定を行い、権限がない場合はエラー画面を表示します。
上記の通常遷移時以外の場合、IM-Workflow の標準機能によるユーザコンテンツ画面の表示権限の判定が行われません。
例えば、ユーザコンテンツ画面のURLに直接アクセスが行われた場合、IM-Workflow の標準機能による表示権限の判定が行われないため、ユーザコンテンツ画面のつくりによっては、表示権限を持たないユーザにユーザコンテンツ画面の内容を閲覧されてしまう可能性があります。
上記の状態でも、ユーザコンテンツ画面の表示後に各種処理(申請、承認など)を実行するタイミングでは、IM-Workflow の標準機能による処理権限の判定が行われるため、不正な処理が実行されてしまうことはありません。
ただし、表示権限のないユーザにユーザコンテンツ画面を閲覧されてしまうことが運用上の問題となる場合には、以降の対応を行うことにより、ユーザコンテンツ画面への不正な直接アクセスを抑止することが可能です。