虚假的安全认证的保护

[amsz]

Describe the bug

版本 v2.3.1

使用 AUTH_PASSWORD 方式运行后点击开始调试，跳转的链接为 http://127.0.0.1:6752/#/room-list，界面提示输入密码。

但是修改访问链接，例如 http://127.0.0.1:6752/aa#/room-list，就可以任意访问了。

Steps to reproduce

No response

System Info

Ubuntu 20.04.6 LTS

Logs

No response

Validations

• Read the FAQ.
• Read the Contributing Guidelines.
• Check that there isn't already an issue that reports the same bug to avoid creating a duplicate.
• The provided reproduction is a minimal reproducible example of the bug.

[wqcstrong]

你访问 http://127.0.0.1:6752/aa#/room-list 能看到什么

[amsz]

看到的是房间列表的空界面，并实际上不会显示已连接的客户端，console中有报错。

认证这块我觉得可以完善一下：

1. 上面没有登录时修改了链接，也要进入密码输入界面
2. 登录后提供一个退出的按钮

[wqcstrong]

1. 上面没有登录时修改了链接，也要进入密码输入界面

「是否需要输入密码」是从接口返回判断，接口地址是从 URL 上解析。这意味着在你修改路径后 -> 解析出错误的接口地址 -> 无法判断是否需要认证 -> 前端降级。

2. 登录后提供一个退出的按钮

为什么需要退出？有合理的具体场景吗。

[amsz]

退出的场景 - 外网多人都可以登录的服务器，pagespy是开发人员需要操作，处理完就可以退出了；而其它业务的就不需要看到

[wqcstrong]

退出的场景 - 外网多人都可以登录的服务器，pagespy是开发人员需要操作，处理完就可以退出了；而其它业务的就不需要看到

「其他业务」我理解也是开发相关的人员，是么？如果是内部的人员，“退出” 没必要；如果是外部人员获取到了密码，你需要在服务端修改密码并重启，而不是增加退出功能。