Afficher la page "Accès refusé" de l'utilisateur ou rediriger vers la page de destination
Lorsqu'un utilisateur authentifié dans un rôle particulier essaie d'accéder à une page (en tapant manuellement l'URL) sur laquelle le rôle de l'utilisateur n'a pas l'autorisation: est-il préférable d'afficher une page d'accès refusé ou de rediriger l'utilisateur vers la page de destination? Besoin de réponses du point de vue UX et de la sécurité.
Il existe une troisième option pour des problèmes de sécurité: refuser l'existence d'une page
En travaillant sur un logiciel d'entreprise, j'ai rencontré une demande de fonctionnalité pour les clients qui ont utilisé notre plateforme:
Clients qui ne veulent pas montrer ou suggérer à un utilisateur non authentifié (ou interdit) qu'un certain type de contenu existe même pour ceux qui n'ont pas l'autorisation.
Donc, au lieu d'une page "403 interdite", la solution était de donner un 404. Nous avons gardé le libellé vague, avec un lien vers la page d'accueil, le formulaire de connexion en haut à droite et un champ de recherche.
Voici un exemple d'une page Github 404 (bien qu'il soit effronté, ce qui pourrait ne pas être approprié pour votre site).
Vous pouvez ne pas avoir les mêmes problèmes de sécurité ou de propriété intellectuelle, alors dans ce cas, une page 403 leur ferait au moins savoir que des autorisations supplémentaires sont nécessaires (mais ils savent qu'il y a du contenu qui existe).
Diriger les utilisateurs vers la page d'accueil ne les informera pas de leurs autorisations insuffisantes et ils peuvent les confondre avec du contenu introuvable ou leur faire croire qu'ils ont la mauvaise URL, alors qu'en réalité c'est un problème d'autorisations.
En raison de nos préoccupations de sécurité (et de nos clients), nous avons conclu qu'un 404 est une meilleure solution.