А как лучше закрыть админку проекта?

htclog81 · 10.11.2017 23:37:49

Насчет ролей лидер проекта против. Считает, что авторизованные на сайте юзеры должны вообще быть к админке никаким боком. Может http авторизацию по старинке сделать? Какие то может быть есть встроенные еще средства ларавель о которых я не знаю? В другой ларавель проект тащить админку нет смысла, ведь классы и миграции теже...

MeKree · 11.11.2017 14:57:40

Я всегда админку закрываю посредником (middleware)

htclog81 · 11.11.2017 15:46:18

Про middleware понятно. А какие условия туда пишите? Что можно проверять кроме ролей, коли их не хотят?

AlexeyMezenin · 11.11.2017 15:48:47

Что можно проверять кроме ролей, коли их не хотят?

А это лучше у лида спроси. Если ему не нравится стандартная аутентификация, пусть скажет что именно ему нужно. Проверять можно что угодно, вплоть до IP.

htclog81 · 11.11.2017 16:02:15

Но стандарт для laravel безусловно проверять для админки роли или что то еще именно у user'ов которые в общей таблицы с юзерами сайта? И проблем с безопасностью то что аутентификация общая с сайтом это не вызывает?

Или может как то вторую что ли систему аутентификации для админки делать...

Proger_XP · 11.11.2017 16:12:32

И проблем с безопасностью то что аутентификация общая с сайтом это не вызывает?

Если в стандартной для сайта схеме аутентификации такие огрехи, которые могут вызвать проблемы с безопасностью входа в админку, то это сломанная аутентификация и ее нужно исправлять вне зависимости от того, как будут авторизовываться админы.

Чем меньше дублирующих систем - тем лучше, посему развитая система ролей и прав пользователей может и должна использоваться для администраторов в том числе.

Если этого мало и хочется еще больше закрутить гайки (что нормально для доступа с очень высокими полномочиями) - можно добавить другие типы проверок, например: по сертификату, по IP, HTTP Basic Auth, по неафишируемой cookie (создать руками в браузере долгоживущую cookie, которую сервер будет читать, но нигде про это не говорить), через туннель (разновидность ограничивания по IP, когда войти можно только из внутренней VPN или с ssh, которые защищены на порядок лучше многих веб-приложений).

Это все добавляется сверху (nginx, iptables, ssh и пр.) - код приложения эти проверки не проводит (за исключением, возможно, cookie, но и это лучше переложить на nginx или HAProxy). Тогда безопасность будет двухзвенной.

AlexeyMezenin · 11.11.2017 16:16:52

Но стандарт для laravel безусловно проверять для админки роли или что то еще именно у user'ов которые в общей таблицы с юзерами сайта? И проблем с безопасностью то что аутентификация общая с сайтом это не вызывает?

Да. Меня в паре проектов просили прикрутить дополнительный костыль вроде проверки IP для суперадмина, но почти во всех проектах используется стандартная аутентификация. Можешь хоть смс подтверждение прикрутить, но сомневаюсь, что подобные вещи оправданы для небольших проектов. Я бы на твоем месте лида загрузил.

htclog81 · 11.11.2017 16:18:56

Теперь ясно. Проверять нужно ролями. Но вот поверх этого можно прикрутить, что то типа проверки ip или куки.

Laravel по-русски

#1 10.11.2017 23:37:49

А как лучше закрыть админку проекта?

#2 11.11.2017 14:57:40

Re: А как лучше закрыть админку проекта?

#3 11.11.2017 15:46:18

Re: А как лучше закрыть админку проекта?

#4 11.11.2017 15:48:47

Re: А как лучше закрыть админку проекта?

#5 11.11.2017 16:02:15

Re: А как лучше закрыть админку проекта?

#6 11.11.2017 16:12:32

Re: А как лучше закрыть админку проекта?

#7 11.11.2017 16:16:52

Re: А как лучше закрыть админку проекта?

#8 11.11.2017 16:18:56

Re: А как лучше закрыть админку проекта?

Подвал раздела