Новый проект требует простой панели (страницы) для администратора и сотрудников, которые:Простая реализация панели администратора/персонала?
- Предпочтительно не использовать SSL или любой цифровой ceritification материал, простой Войти с помощью HTTP будет просто отлично.
- имеет базовую аутентификацию, которая позволяет только администратору входить в систему как администратор и любой сотрудник из группы «персонал». В идеале «учетные данные (имя пользователя-hashedpassword pair)» будут храниться в MySQL.
- прост в настройке, если есть пакет, или стратегия проста для кодирования.
- где-нибудь (PHP session?) Каким-то образом (включите скрипт в начале каждой страницы, чтобы проверить группу пользователей, прежде чем что-либо делать?), Он обнаружит любую недействительную попытку пользователя получить доступ к защищенной странице и перенаправить его/ее в форму для входа ,
- в то же время сохраняет высокое качество в плане безопасности, что-то меня беспокоит больше всего.
Откровенно говоря, я мало осведомлен о безопасности в Интернете и о том, как современные CMS, такие как WordPress/Joomla, справляются с этим.
У меня есть только одна вещь в моем сознании: мне нужно использовать соль для хеширования пароля (SHA1?), Чтобы убедиться, что любой хакер, который получает пару имени пользователя и пароля по сети, не может использовать это для входа в систему система. И именно это клиент хочет убедиться.
Но я действительно не уверен, с чего начать, какие-нибудь идеи?
@ The Rook: спасибо вам за то, что выдвинули основные правила. Теперь я вижу, что SSL - это просто начало. Я определенно буду искать способы удостовериться, что «средние» хакеры не будут слишком легко взломать систему входа в систему, и я должен позволить клиенту понять, что для его же блага достаточно долго выполнять такую «маленькую» вещь:) –