網站存取控制操作手冊
已完成
Part 8
疑難排解與安全性
設定存取控制時最容易踩的坑,多半和「你自己是管理員」或「網址前綴/網站沒對上」有關。這一章收整常見狀況與安全提醒。
A. 常見狀況排查
| 狀況 | 可能原因 → 對策 |
|---|---|
| 設了受限,我卻還是進得去 | 你是管理員/授權群組成員,本來就通行 → 登出或用非授權帳號實測(Part 1) |
| 訪客沒有被擋 | 規則網址前綴不符(少了斜線/打錯)、或網站欄限定了別的網站、或忘了儲存 → 核對前綴、網站欄留空、重新儲存 |
| 拒絕頁沒顯示我的訊息 | 規則的專屬提示留空→ 顯示網站預設;或網站預設設在別的網站 → 補該規則專屬訊息或切到正確網站設定(Part 5) |
| 拒絕頁沒有自動回首頁 | 「導向延遲」設成 0(=停用自動導向)→ 想自動回就設大於 0 的秒數(Part 5) |
| 密碼一直說不對 | 密碼區分大小寫、含空白;核對該規則「密碼」欄的實際值 |
| 授權群組成員仍被擋 | 該帳號其實不在你以為的群組 → 到權限設定確認帳號的群組指派 |
| 整站客人都進不來 | 可能誤把 / 設成受限 → 把 / 規則改回公開或刪除(Part 7-D) |
| 個別內建特例頁沒被攔 | 極少數內建控制器頁(如 /contactus)行為不同 → 改保護其上層/實際內容網址,並以訪客實測為準(Part 4) |
B. 安全性重點
⚠️ 務必記得
- 藏選單連結不是保護:只有網址存取規則能真正擋住直接輸入網址的存取(Part 6)。
- 密碼是共享通行碼:會被轉傳、無法追蹤到個人。敏感或需稽核的內容改用受限群組(綁帳號)。
- 只有「受限群組」與「已登入」有帳號級控制;「需要密碼」與「公開」沒有身分概念。
- 全站規則(
/)影響最大:設定與上線前後都要實測與還原。
C. 上線前檢查清單
| 檢查 | 怎麼確認 |
|---|---|
| 規則清單無遺留 | 網址存取規則清單掃一遍,確認沒有測試時留下的 / 或臨時規則 |
| 受限區真的被擋 | 用訪客與一般帳號各開一次受限網址,確認看到拒絕/登入/密碼頁 |
| 授權者能正常進 | 用一個授權群組成員帳號開受限網址,確認暢通 |
| 拒絕訊息友善 | 確認訊息說明原因與申請方式,不像錯誤頁 |
| 多網站對號 | 多網站時確認每條規則的「網站」欄對到正確網站 |
如何查到
排查優先序:① 你是不是管理員/授權者(登出實測)② 網址前綴與網站欄是否對上 ③ 是否已儲存 ④ 拒絕訊息與導向延遲設定。安全性只認網址存取規則,密碼模式無法追蹤到人。