Hallo,
ich hätte einmal eine Grundsatzfrage bezüglich der Authentifizierung.

a) Wenn ein Benutzer nicht angemeldet ist und auf eine "verfügbare" Seite zugreift, obwohl er keine Berechtigung dafür hat, sollte man hier immer zu der Login-Seite umleiten?

b)Wenn ein Benutzer angemeldet ist, und keinen Zugriff auf einen Route hat, sollte man hier einen "Forbidden" (403) Seite anzeigen lassen oder eine 404?

Mir geht es um die Sicherheit.
Im Grunde könnte der User (angemeldet und unangemeldet) rausfinden welche Seite es gibt und auf welche er nicht zugreifen darf.

Ob er was damit anfangen kann oder nicht, sei mal so daher gestellt.
Möchte nur einige Erfahrung sammeln und wissen was die Best Practice Methode hierbei ist.


Bisher hab ich es so gelöst:
Wenn der Benutzer auf eine Verfügbare Seite klickt und keine Berechtigung hat, wird er auf die Login-Seite umgeleitet.
Wenn ein Benutzer angemeldet ist und auf eine nicht erlaubte resource zugreift, erscheint eine Forbidden-Seite.


Vielen lieben Dank
aspn