可能重复:
保护网站管理部分的最佳做法是什么?
我想知道在您的网站上做管理工作的唯一方法,比如禁止用户、删除帖子和调用其他管理功能,是否是创建一个管理部分。唯一阻止用户在这里登录的是密码。难道没有其他选择,比如用户看不到的页面吗?
可能重复:
保护网站管理部分的最佳做法是什么?
我想知道在您的网站上做管理工作的唯一方法,比如禁止用户、删除帖子和调用其他管理功能,是否是创建一个管理部分。唯一阻止用户在这里登录的是密码。难道没有其他选择,比如用户看不到的页面吗?
如果网站需要为常规活动和管理员(例如论坛)登录,我会使用使用相同用户数据库的单独登录。这确保了 XSRF 和会话窃取不会允许攻击者访问管理区域。
此外,如果 admin 部分位于单独的子目录中,则使用 Web 服务器的身份验证(例如 Apache 中的 .htaccess)保护该子目录可能是一个好主意 - 那么有人需要该密码和用户密码。
隐藏管理路径几乎不会带来安全收益——如果有人知道有效的登录数据,他很可能也能够找到管理工具的路径,因为他要么通过网络钓鱼或键盘记录你,要么通过社会工程获得它(这可能会揭示路径,也是)。但是即使没有模糊的路径,您也不需要指向它的链接;只需手动输入即可访问管理区域。
暴力保护,例如在 3 次登录失败后阻止用户的 IP 或在登录失败后要求验证码(不是第一次登录,因为这对合法用户来说非常烦人)也可能有用。
但总而言之,除非您的网站包含敏感信息等,否则在大多数情况下,安全密码和没有安全漏洞就足够了。