Русское сообщество разработки на PHP-фреймворке Laravel.
Ты не вошёл. Вход тут.
Страницы 1
Насчет ролей лидер проекта против. Считает, что авторизованные на сайте юзеры должны вообще быть к админке никаким боком. Может http авторизацию по старинке сделать? Какие то может быть есть встроенные еще средства ларавель о которых я не знаю? В другой ларавель проект тащить админку нет смысла, ведь классы и миграции теже...
Не в сети
Я всегда админку закрываю посредником (middleware)
Не в сети
Про middleware понятно. А какие условия туда пишите? Что можно проверять кроме ролей, коли их не хотят?
Не в сети
Что можно проверять кроме ролей, коли их не хотят?
А это лучше у лида спроси. Если ему не нравится стандартная аутентификация, пусть скажет что именно ему нужно. Проверять можно что угодно, вплоть до IP.
Не в сети
Но стандарт для laravel безусловно проверять для админки роли или что то еще именно у user'ов которые в общей таблицы с юзерами сайта? И проблем с безопасностью то что аутентификация общая с сайтом это не вызывает?
Или может как то вторую что ли систему аутентификации для админки делать...
Не в сети
И проблем с безопасностью то что аутентификация общая с сайтом это не вызывает?
Если в стандартной для сайта схеме аутентификации такие огрехи, которые могут вызвать проблемы с безопасностью входа в админку, то это сломанная аутентификация и ее нужно исправлять вне зависимости от того, как будут авторизовываться админы.
Чем меньше дублирующих систем - тем лучше, посему развитая система ролей и прав пользователей может и должна использоваться для администраторов в том числе.
Если этого мало и хочется еще больше закрутить гайки (что нормально для доступа с очень высокими полномочиями) - можно добавить другие типы проверок, например: по сертификату, по IP, HTTP Basic Auth, по неафишируемой cookie (создать руками в браузере долгоживущую cookie, которую сервер будет читать, но нигде про это не говорить), через туннель (разновидность ограничивания по IP, когда войти можно только из внутренней VPN или с ssh, которые защищены на порядок лучше многих веб-приложений).
Это все добавляется сверху (nginx, iptables, ssh и пр.) - код приложения эти проверки не проводит (за исключением, возможно, cookie, но и это лучше переложить на nginx или HAProxy). Тогда безопасность будет двухзвенной.
Не в сети
Но стандарт для laravel безусловно проверять для админки роли или что то еще именно у user'ов которые в общей таблицы с юзерами сайта? И проблем с безопасностью то что аутентификация общая с сайтом это не вызывает?
Да. Меня в паре проектов просили прикрутить дополнительный костыль вроде проверки IP для суперадмина, но почти во всех проектах используется стандартная аутентификация. Можешь хоть смс подтверждение прикрутить, но сомневаюсь, что подобные вещи оправданы для небольших проектов. Я бы на твоем месте лида загрузил.
Не в сети
Теперь ясно. Проверять нужно ролями. Но вот поверх этого можно прикрутить, что то типа проверки ip или куки.
Не в сети
Страницы 1