如何保护spfx设计的SharePoint Online表单和工作流- spfx项目的最佳安全性

Question

我正在开发(在SO成员的帮助下) SPFX webpart(s)，它由一个表单和最终的工作流程组成，它本质上是一个美化的审批流程，具有连接到几个列表和库的UI。在讨论了为SP-Online开发web部件的利弊之后，一位开发人员表示，安全方面的一个弱点是最终用户能够简单地绕过web部件，直接转到列表或库(如果在该列表/库上没有设置权限)。为了封存list/lib，我计划使用在项目创建时运行的SharePoint Designer工作流。此工作流将仅设置对UI表单中的创建者和任何人员选择器字段的访问权限。

我的问题是--有没有什么可以让我遵循的方法来保护这样的项目免受多管闲事的人的侵扰呢？

如果这不是在正确的地方，向国防部道歉？如果是的话，你能给我重定向吗？

Answer 1

您可以使用SecurityTrimmedControl根据用户权限显示或隐藏组件。

或类似于the demo的自定义逻辑。

更新：

SPFx使用当前用户上下文(权限)来访问SharePoint，因此，如果用户可以访问(CRUD)列表数据表单SPFx，则可以通过rest api或excel等方式获取数据。如果限制用户对目标项的权限，则需要其他设计来绕过此问题(check this thread)。