Перейти к содержимому


Фото
- - - - -

Вопрос: Авторизация Admin как пользователь


  • Чтобы отвечать, сперва войдите на форум
28 ответов в теме

#1 alexivchenko

alexivchenko
  • Пользователь
  • 148 сообщений
  • Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Курск

Опубликовано 22.06.2020 - 15:49

Никак не могу разобраться, как при нынешней авторизации администратора (site.com/simpla), сделать, чтобы авторизация проходила как у обычного пользователя с главной страницы сайта?

Изменено: alexivchenko, 22.06.2020 - 15:50


#2 Noxter

Noxter
  • Фрилансер
  • 42 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Киев

Опубликовано 22.06.2020 - 16:38

Никак не могу разобраться, как при нынешней авторизации администратора (site.com/simpla), сделать, чтобы авторизация проходила как у обычного пользователя с главной страницы сайта?

Никак, это абсолютно разные авторизации.

#3 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 22.06.2020 - 17:34

Никак не могу разобраться, как при нынешней авторизации администратора (site.com/simpla), сделать, чтобы авторизация проходила как у обычного пользователя с главной страницы сайта?


Для этого надо переделать всю схему авторизации админа - по образцу авторизации пользователя. Довольно хлопотно. А вообще по-хорошему это должно быть стандартно...



#4 alexivchenko

alexivchenko
  • Пользователь
  • 148 сообщений
  • Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Курск

Опубликовано 22.06.2020 - 17:42


Для этого надо переделать всю схему авторизации админа - по образцу авторизации пользователя. Довольно хлопотно. А вообще по-хорошему это должно быть стандартно...


Я так понимаю нужно сделать роли, по типу групп - администратор, менеджеры и пользователи.
В базе у пользователя сделать role (1) админ, (2) менеджер, (3) пользователь. Пользователь при регистрации получает (3). Менеджера назначает администратор. Админ получает либо при установке, либо ручками в базе. В админ панели управляем ролями с доступом.
Далее делать проверку сессии по номеру роли, если 1 и 2 допускаем к админ.панели.

#5 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 22.06.2020 - 17:53

Можно и так.

Но обычно для пущей безопасности админов и пользователей в одну кучу (одну таблицу) не пихают, а делают для них отдельные таблицы и отдельные скрипты авторизации...



#6 Noxter

Noxter
  • Фрилансер
  • 42 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Киев

Опубликовано 22.06.2020 - 18:14

Серверная авторизация намного надёжней чем хранение админа в БД...
Даже у нашумевшей окайцмс авторизация не очень надёжная.

#7 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 22.06.2020 - 19:22

Большинство CMS, насколько я знаю, уже много лет хранят админа именно в таблице БД. И особых проблем с безопасностью не наблюдается.


А вот у Simpla в этой части сделано явно хуже, чем у прочих.

Видимо, объяснения этому можно найти в истории:

1. Сначала в младших версиях в принципе не было предусмотрено нескольких админов, а в такой ситуации серверная авторизация, конечно, реализуется проще.

2. Потом автор решил сделать несколько админов, и ему пришлось подгонять под это серверную авторизацию - вышло изобретение велосипеда с базой данных админов в текстовом файле. А в том, что касается разлогинивания админа - велосипед вообще получился очень кривой...

3. В итоге попали в тупик. Ибо развиваться тут некуда, можно только почти все заново программировать.

4. И по многим позициям у Simpla картина подобная. Думаю, автор это сознает, и потому систему развивать не хочет - чувствует, что ничего хорошего не получится...



#8 Noxter

Noxter
  • Фрилансер
  • 42 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Киев

Опубликовано 23.06.2020 - 00:05

Большинство CMS, насколько я знаю, уже много лет хранят админа именно в таблице БД. И особых проблем с безопасностью не наблюдается.

Авторы систем также морально устарели как и ты.
Ты не идёшь в ногу со временем, тебе достаточно строчить "код" в notepad++...
P.S. Старый запорожец уже и не сыскать, но он есть и даже едет.

#9 alexivchenko

alexivchenko
  • Пользователь
  • 148 сообщений
  • Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Курск

Опубликовано 23.06.2020 - 01:20

Авторы систем также морально устарели как и ты.
Ты не идёшь в ногу со временем, тебе достаточно строчить "код" в notepad++...
P.S. Старый запорожец уже и не сыскать, но он есть и даже едет.


Артём, объясните. Чем нынешняя авторизация админа лучше, чем сделать ее как у пользователя.

#10 Noxter

Noxter
  • Фрилансер
  • 42 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Киев

Опубликовано 23.06.2020 - 07:41

Артём, объясните. Чем нынешняя авторизация админа лучше, чем сделать ее как у пользователя.

Вероятность подбора логина\пароля сводится к нулю.

#11 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 23.06.2020 - 09:25

Вероятность подбора логина\пароля сводится к нулю.


Очень интересно:

1. Что значит "сводится"?

2. Что значит "сводится к нулю"?

3. Как считается вероятность при серверной авторизации?

4. Как считается вероятность при принятой в большинстве CMS через хранение данных в БД?

5. Почему вероятность п.3 сводится именно к нулю?

6. К чему сводится вероятность п.4?

 

Что-то не видно в Сети массовых жалоб он владельцев CMS, что у них подобрали логин-пароль...

 

https://zen.yandex.r...ef8e700adde3d10



#12 Kasha

Kasha

    Поддержка пользователей

  • Администратор
  • 1 707 сообщений
  • Дизайн, Программирование, Верстка, SEO
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.06.2020 - 09:43

Давайте посмотрим немного с другой стороны на ситуацию - симпла делалась как максимально простое решение, решение в которое каждый сможет допилить то что ему нужно.

 

В итоге имеем - почти каждый сайт на симпла делали 2-3-5 кодеров, каждый вносил что-то свое, как следствие накопление ошибок (да-да), и если админка будет "там же" где и остальной код вероятность что система станет дырявой стремиться к бесконечности с каждой правкой. По этому закрытие админки серверной авторизацией ни что иное как "защита от дураков" в лице криворуких кодеров, и их программистов.

 

p.s. не хотел никого обидеть, не воспринимайте на свой счет, уровень знаний людей о безопасности серверных систем взял из личного опыта.



#13 Noxter

Noxter
  • Фрилансер
  • 42 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Киев

Опубликовано 23.06.2020 - 10:05

Очень интересно:
1. Что значит "сводится"?
2. Что значит "сводится к нулю"?
3. Как считается вероятность при серверной авторизации?
4. Как считается вероятность при принятой в большинстве CMS через хранение данных в БД?
5. Почему вероятность п.3 сводится именно к нулю?
6. К чему сводится вероятность п.4?
 
Что-то не видно в Сети массовых жалоб он владельцев CMS, что у них подобрали логин-пароль...
 
https://zen.yandex.r...ef8e700adde3d10

Корс ты больной параноик

#14 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 23.06.2020 - 10:24

Давайте посмотрим немного с другой стороны на ситуацию - симпла делалась как максимально простое решение, решение в которое каждый сможет допилить то что ему нужно.

 

В итоге имеем - почти каждый сайт на симпла делали 2-3-5 кодеров, каждый вносил что-то свое, как следствие накопление ошибок (да-да), и если админка будет "там же" где и остальной код вероятность что система станет дырявой стремиться к бесконечности с каждой правкой. По этому закрытие админки серверной авторизацией ни что иное как "защита от дураков" в лице криворуких кодеров, и их программистов.

 

p.s. не хотел никого обидеть, не воспринимайте на свой счет, уровень знаний людей о безопасности серверных систем взял из личного опыта.


Большинство CMS имеет открытый код, в который владельцы могут вносить правки и и они их реально активно вносят. Однако разработчики CMS не считают нужным использовать именно серверную авторизацию. Видимо, потому, что текущий уровень безопасности всех устраивает. А количество разработок и разработчиков в некоторых системах, например, OpenCart, превышает аналогичные показатели Simpla в десятки раз.

 

По-моему, рассуждения о плюсах в безопасности тут притянуто за уши. Возможно, и есть такой маленький плюсик на фоне остальной массы минусов...



#15 Kasha

Kasha

    Поддержка пользователей

  • Администратор
  • 1 707 сообщений
  • Дизайн, Программирование, Верстка, SEO
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.06.2020 - 10:46

Не нужно читать через строку. Сравнивать Симплу с битриксом глупо, сравнивать уровень программистов аналогично, симплой увлекаются во многом те у кого нет денег на дорогих высококвалифицированных кодеров, как следствие обращение к самоучкам с низким уровнем познаний в области безопасности. Отсюда и вывод - сделано максимально просто и безопасно. Не забывайте про изначальную концепцию симплы.



#16 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 23.06.2020 - 12:23

Не забывайте про изначальную концепцию симплы.

А можно где-то прочесть официальную информацию про изначальную концепцию симплы? Дайте ссылочку, пожалуйста...

#17 Noxter

Noxter
  • Фрилансер
  • 42 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Киев

Опубликовано 23.06.2020 - 12:49


А можно где-то прочесть официальную информацию про изначальную концепцию симплы? Дайте ссылочку, пожалуйста...


Маразм Корса всё крепчает : facepalm:

#18 Kasha

Kasha

    Поддержка пользователей

  • Администратор
  • 1 707 сообщений
  • Дизайн, Программирование, Верстка, SEO
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.06.2020 - 13:02

А можно где-то прочесть официальную информацию про изначальную концепцию симплы? Дайте ссылочку, пожалуйста...

simplacms.ru



#19 yr4ik

yr4ik
  • Фрилансер
  • 934 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:1.x, 2.x
  • Откуда:Украина Чернигов

Опубликовано 23.06.2020 - 13:14

http авторизация:

+ она закрывает всю бекенд директорию от лишних запросов

+ исходя их первого уменьшается необходимость жестко контролировать объекты бекенда

+ безопасность на хорошем уровне

- данные об менеджере ограничены и проблемно связываются с остальной базой данных

- при попадании в админ-часть, даже с минимальными правами, нам становятся доступны запросы на сторонние объекты (у которых может быть неконтролируемый функционал)

 

бд авторизация:

+ данные менеджера легко расширяются и связываются с другими данными  

- необходимость жестких мер по закрытию доступа к скриптам бекенда. То есть нужно контролировать авторизацию в каждом файле что способен выполниться в бекенде (различные файл менеджеры и прочее)

+- уровень безопасности зависит от пункта выше

 

способ авторизации зависит в первую очередь о целей для которых эта авторизация делается. Если она несет чисто доступный функционал - вполне достаточно http.

 

 

Автору темы: 

при создании изменении менеджера - создавайте изменяйте обычного пользователя. Связь пользователь=менеджер сделайте через запись ида пользователя в .passwd

Подводные камни будут, но в любом случае их будет меньше чем переделывать всю авторизацию менеджера


Изменено: yr4ik, 23.06.2020 - 13:17


#20 phukortsin

phukortsin
  • Фрилансер
  • 1 077 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 23.06.2020 - 13:36

Термин "концепция" -  на мой взгляд, слишком громко сказано для небольшого описания отдельных моментов.

 

А бонусом там идет утверждение "на большинстве страниц магазина используется не более десяти SQL-запросов", которое совсем НЕВЕРНОЕ:

http://forum.simplac...и +sql-запросов

 

Если цитированное утверждение тоже входит в концепцию, то это не повышает уровень доверия к такой концепции...


Изменено: phukortsin, 23.06.2020 - 17:10





0 пользователей читают эту тему

0 пользователей, 0 гостей, 0 скрытых