Как обезопасить вход в админку?

Question

ravshan selimov @ravshan01

Как обезопасить вход в админку?

Всем привет.
Как мне обезопасить админку?
раньше не делал серьёзных проектов, поэтому не знаю.

Фронт делаю на react, redux, react-router.
Сервер на php, для запросов использую pdo.

Сейчас вход в админку реализован так:

В адресной строке добавляю в путь /admin,
Там форма входа, ...
проверяю статус пользователя, если равен root или admin то изменяю состояние редукс, меняю isAdmin на true.
И всё если isAdmin равен true имею доступ к админку.

Мне кажется так делать не стоит, но как правильно не знаю

Вопрос задан более трёх лет назад
795 просмотров

4 комментария

Подписаться 3 Простой 4 комментария

Lynatik001 @Lynatik001

isAdmin это глобальная переменная? в js?

Написано более трёх лет назад
ravshan selimov @ravshan01 Автор вопроса

Lynatik001, isAdmin из состояния редукс

Написано более трёх лет назад
i1yas @i1yas

ravshan selimov, т.е. вы на клиенте проверяете авторизацию?
Вообще клиент не должен иметь никакого отношения к безопасности, всегда можно обойти ваше приложние, главное - сервер.

Написано более трёх лет назад
ravshan selimov @ravshan01 Автор вопроса

i1yas, ??? авторизацию проверяю на сервере, если статус аккаунта равен root или admin я возвращаю true, у обычного пользователя статус user

Написано более трёх лет назад

Решения вопроса 1

4 комментария

ravshan selimov @ravshan01 Автор вопроса

вы хотите сказать проверять сессию при выполнение какого либо действия php скрипта с бд? например:
при создании нового аккаунта администратора из админки

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

ravshan selimov,
вы хотите сказать проверять сессию при выполнение какого либо действия php скрипта с бд?
Почему именно с бд? Вообще любого действия внутри админки без проверки авторизации НА СЕРВЕРЕ делать нельзя.

Написано более трёх лет назад
Developer @samodum

Для более замороченного входа можно еще какой-то ключ прикрепить к админке, например /admin?key=666 и проверять наличие этого ключа, иначе посылать на 404.

Такой костыль в безопасности называется "security through obscurity"

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Developer, да, больше для параноиков, но часто помогает от брутефорса на дешевых хостингах без фэйлтубана и прочих полезных настроек сервера.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+3 ещё

Простой
Как исправить file_get_contents(): SSL operation failed на Open Server Panel?
- 1 подписчик
- 36 минут назад
- 13 просмотров
0

ответов
PHP

+2 ещё

Простой
Как правильно прописать query для поиска файла по имени в Google Drive API на PHP?
- 1 подписчик
- час назад
- 15 просмотров
1

ответ
React

Простой
Почему не обновляется значение в useState?
- 1 подписчик
- час назад
- 34 просмотра
1

ответ
React

Средний
Выделение ядра у фронта на реакте, какие есть варианты реализации?
- 1 подписчик
- 2 часа назад
- 31 просмотр
0

ответов
PHP

Простой
Как лучше взять данные из большого файла по ключу не перебирая строки?
- 1 подписчик
- 5 часов назад
- 64 просмотра
3

ответа
Информационная безопасность

Простой
Могут ли злоумышленники физический заразить материнскую плату?
- 1 подписчик
- 7 часов назад
- 73 просмотра
4

ответа
JavaScript

+3 ещё

Простой
Почему приходят пустые данные с формы на почту?
- 1 подписчик
- 7 часов назад
- 50 просмотров
1

ответ
React

+2 ещё

Средний
Как загружать данные перед серверным рендерингом в React?
- 2 подписчика
- 16 часов назад
- 128 просмотров
1

ответ
PHP

Простой
Каким образом формируются имена файлов из набора букв и цифр?
- 1 подписчик
- 16 часов назад
- 92 просмотра
2

ответа
PHP

Простой
Почему не применяются настройки xdebug.ini после изменения?
- 1 подписчик
- вчера
- 38 просмотров
1

ответ
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Установить систему Linux

26 апр. 2024, в 17:24

2000 руб./в час

Перенести базу знаний в формат lms (На подобии Obsidium)

26 апр. 2024, в 17:02

35000 руб./за проект

Составить единую таблицу SQL

26 апр. 2024, в 16:51

2000 руб./в час

isAdmin это глобальная переменная? в js?
ravshan selimov, т.е. вы на клиенте проверяете авторизацию?
Вообще клиент не должен иметь никакого отношения к безопасности, всегда можно обойти ваше приложние, главное - сервер.
i1yas, ??? авторизацию проверяю на сервере, если статус аккаунта равен root или admin я возвращаю true, у обычного пользователя статус user

Answer 1 · 2020-07-12 18:08:57

ravshan selimov,

isAdmin из состояния редукс

авторизацию проверяю на сервере,

Хранить состояние пользователя в сессии, а не в редуксе, хотя дублировать в рдукс можно. При каждом запросе проверять сессию на текущее состояние залогиненного юзера, проверять имеет ли он право обращаться к нужному контроллеру/скрипту. Для более замороченного входа можно еще какой-то ключ прикрепить к админке, например /admin?key=666 и проверять наличие этого ключа, иначе посылать на 404.

Answer 2 · 2020-07-13 16:58:48

Каждый запрос к админке на сервере нужно проводить через auth middleware, проверять токен авторизации. На php какой-то фреймворк используете ?

Как обезопасить вход в админку?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт