Как обезопасить вход в админку?

Question

ravshan selimov @ravshan01

Как обезопасить вход в админку?

Всем привет.
Как мне обезопасить админку?
раньше не делал серьёзных проектов, поэтому не знаю.

Фронт делаю на react, redux, react-router.
Сервер на php, для запросов использую pdo.

Сейчас вход в админку реализован так:

В адресной строке добавляю в путь /admin,
Там форма входа, ...
проверяю статус пользователя, если равен root или admin то изменяю состояние редукс, меняю isAdmin на true.
И всё если isAdmin равен true имею доступ к админку.

Мне кажется так делать не стоит, но как правильно не знаю

Вопрос задан более трёх лет назад
806 просмотров

4 комментария

Подписаться 3 Простой 4 комментария

Lynatik001 @Lynatik001

isAdmin это глобальная переменная? в js?

Написано более трёх лет назад
ravshan selimov @ravshan01 Автор вопроса

Lynatik001, isAdmin из состояния редукс

Написано более трёх лет назад
i1yas @i1yas

ravshan selimov, т.е. вы на клиенте проверяете авторизацию?
Вообще клиент не должен иметь никакого отношения к безопасности, всегда можно обойти ваше приложние, главное - сервер.

Написано более трёх лет назад
ravshan selimov @ravshan01 Автор вопроса

i1yas, ??? авторизацию проверяю на сервере, если статус аккаунта равен root или admin я возвращаю true, у обычного пользователя статус user

Написано более трёх лет назад

Решения вопроса 1

4 комментария

ravshan selimov @ravshan01 Автор вопроса

вы хотите сказать проверять сессию при выполнение какого либо действия php скрипта с бд? например:
при создании нового аккаунта администратора из админки

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

ravshan selimov,
вы хотите сказать проверять сессию при выполнение какого либо действия php скрипта с бд?
Почему именно с бд? Вообще любого действия внутри админки без проверки авторизации НА СЕРВЕРЕ делать нельзя.

Написано более трёх лет назад
Developer @samodum

Для более замороченного входа можно еще какой-то ключ прикрепить к админке, например /admin?key=666 и проверять наличие этого ключа, иначе посылать на 404.

Такой костыль в безопасности называется "security through obscurity"

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Developer, да, больше для параноиков, но часто помогает от брутефорса на дешевых хостингах без фэйлтубана и прочих полезных настроек сервера.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

Средний
Обнаружилась на сайте активная РНР сессия, как и где найти функцию session_write_close()?
- 1 подписчик
- 11 часов назад
- 38 просмотров
0

ответов
React

+2 ещё

Простой
Как указать свой путь запроса на сервер react-admin?
- 1 подписчик
- 14 часов назад
- 23 просмотра
0

ответов
React

+1 ещё

Средний
Почему в VS Code весь React проект в ошибках про ненайденные модули, но при этом код работает?
- 1 подписчик
- 15 часов назад
- 45 просмотров
1

ответ
PHP

+1 ещё

Простой
Как написать правило в nginx чтобы адрес типа localhost:8099/home/index/alex попадал в GET['url'] параметр?
- 1 подписчик
- 17 часов назад
- 51 просмотр
1

ответ
PHP

Средний
Как сформировать список по вложенному массиву рекурсивной функцией?
- 1 подписчик
- 18 часов назад
- 91 просмотр
2

ответа
PHP

Средний
Как указать тип возвращаемого значения абстрактного метода, если он должен возвращать объект класса унаследованного от другой абастракции?
- 1 подписчик
- 22 часа назад
- 72 просмотра
1

ответ
PHP

Простой
Как узнать из-за чего прерывается фоновый процесс запущенный через exec?
- 1 подписчик
- 23 часа назад
- 74 просмотра
1

ответ
PHP

+1 ещё

Средний
Как спарсить этот текст с помощью simplehtmldom?
- 1 подписчик
- вчера
- 44 просмотра
0

ответов
Карьера в IT

+1 ещё

Простой
Куда расти ИБ специалисту?
- 4 подписчика
- вчера
- 1136 просмотров
2

ответа
PHP

Простой
Как правильно вывести ошибки регистрации?
- 2 подписчика
- вчера
- 150 просмотров
1

ответ
Показать ещё Загружается…

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

PHP-разработчик

Wanted.

До 200 000 ₽

JS прелоадер (корректировка) и кастомный JS-модуль для Тильды

27 нояб. 2024, в 09:01

4500 руб./за проект

Консультация по созданию математических графиков в Cinema 4D

27 нояб. 2024, в 01:38

2000 руб./за проект

Дизайн трекера для учета задач и времени

27 нояб. 2024, в 01:05

250000 руб./за проект

isAdmin это глобальная переменная? в js?
ravshan selimov, т.е. вы на клиенте проверяете авторизацию?
Вообще клиент не должен иметь никакого отношения к безопасности, всегда можно обойти ваше приложние, главное - сервер.
i1yas, ??? авторизацию проверяю на сервере, если статус аккаунта равен root или admin я возвращаю true, у обычного пользователя статус user

Answer 1 · 2020-07-12 18:08:57

ravshan selimov,

isAdmin из состояния редукс

авторизацию проверяю на сервере,

Хранить состояние пользователя в сессии, а не в редуксе, хотя дублировать в рдукс можно. При каждом запросе проверять сессию на текущее состояние залогиненного юзера, проверять имеет ли он право обращаться к нужному контроллеру/скрипту. Для более замороченного входа можно еще какой-то ключ прикрепить к админке, например /admin?key=666 и проверять наличие этого ключа, иначе посылать на 404.

Answer 2 · 2020-07-13 16:58:48

Каждый запрос к админке на сервере нужно проводить через auth middleware, проверять токен авторизации. На php какой-то фреймворк используете ?

Как обезопасить вход в админку?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт