所以我搜索了網頁,甚至在這裏,它給了我this post但它並沒有真正給我我想要的答案。什麼是保護網站的管理部分/區域的最佳方式?
我想在我的服務器上有一個名爲/ admin/www.mysite.com/admin。這將存儲網站統計等和有關該網站的其他「祕密」信息。
但是,確保該文件夾的最佳做法是什麼?當然,我可以用瀏覽器SESSIONS編寫標準登錄,但這很容易繞過 - 可能會導致SESSION劫持。
我讀過.htaccess保護目錄嗎?有人能給我更多的信息嗎?
個人經驗的任何提示也將不勝感激。
謝謝, 弗蘭克。
保護像這樣的目錄是購買SSL證書和需要訪問該地區的你最好的最好方法通過安全連接。在這種情況下,會話劫持將非常非常困難,因爲只有少數用戶(因此只有幾個會話)甚至可以訪問管理面板,會話ID將通過安全連接進行加密,而不是公開可見。另一個提示是爲用戶訪問主網站(不安全)和同一用戶訪問管理面板(安全)創建單獨的會話ID。
堆棧溢出還有另一個話題,討論advantages and disadvantages of sessions vs HTTP authentication,你可能會發現有助於確定使用哪一個。我個人會堅持會話,因爲它提供了更多的靈活性,而HTTP身份驗證爲您提供了一個完全不可定製的標準對話框。
好吧,就像你說的,你總是可以使用htaccess和htpasswd進行基本身份驗證(簡單的&快速配置),或者你總是可以使用類似php/mysql的設置一個經典的登錄用戶名/密碼。
編輯
這裏是關於htaccess的/ htpasswd的一些好的信息 http://httpd.apache.org/docs/2.0/howto/auth.html
感謝您的提示! :) – Frank
我添加了一個有關htaccess/htpasswd的良好信息的鏈接,讓你開始如果你決定這個方向! – allaire