+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Page protégée (/showthread.php?tid=5391)
RE: Page protégée - Dga - 22-08-2011
Faire son admin sur un autre domaine/sous domaine en plus de ce qui a était dit :p
RE: Page protégée - Viciousity - 22-08-2011
Sa change rien niveau sécurité ^^
RE: Page protégée - Dga - 23-08-2011
C'est une sécurité en plus car les robots ou autres ont tendance à chercher à la racine de ton site ce genre de fichier et niveau gestion c'est plus simple à sécuriser/monitorer.
RE: Page protégée - Viciousity - 23-08-2011
Normalement si ton système de gestion des droits est assez poussé, des robots tels que google ne sauront jamais accéder a l'administration. de plus une partie du genre http://monsite.com/admin/ est aussi bien que http://admin.monsite.com
RE: Page protégée - Dga - 23-08-2011
Non car monsite.com/admin répondra forcément vu que c'est sur le domaine de ton site alors qu'avec admin.monsite.com tu peux très bien ne pas le configurer sur tes serveurs DNS comme ça admin.monsite.com ne répondera pas, ensuite sur ton router ou tout simplement avec ton fichier hosts, il suffit de faire pointer admin.monsite.com vers ton serveur.
Moi par exemple mon admin est sur une VM dédié, cette VM a accès uniquement à mon réseau local de mon infra et n'est pas visible sur internet, il suffit de se connecter au VPN de l'infra pour accéder à ce réseau local et pouvoir avoir accès à l'admin.
C'est sur que si on s'amuse à faire monsite.com/nimportequoiAdmin.php ça rend la tache compliqué et dans la majorité des cas la personne laissera tombé, mais pour ma part je trouve ça moins pratique et surtout moins sur
RE: Page protégée - Akira777 - 23-08-2011
Pour ma part, je trouve que qu'une page nommée "Admin", déjà ca le fait pas... Autant mettre "Gestion" ou "BO" (back-office). Ensuite, il faut avoir une session enregistrée sur ton jeu par exemple et que ton Id Utilisateur soit défini dans un fichier texte crypté en Base64 plus un str_replace bien placé.
RE: Page protégée - Sephi-Chan - 23-08-2011
(23-08-2011, 01:46 PM)Akira777 a écrit : Pour ma part, je trouve que qu'une page nommée "Admin", déjà ca le fait pas... Autant mettre "Gestion" ou "BO" (back-office). Ensuite, il faut avoir une session enregistrée sur ton jeu par exemple et que ton Id Utilisateur soit défini dans un fichier texte crypté en Base64 plus un str_replace bien placé.
Pourquoi Base 64 ? Avoir l'information en clair ou en base 64, c'est pareil. Aucun apport en terme de sécurité.
À part ça, j'utilise très rarement l'authentification HTTP.
Mon système d'authentification repose sur un jeton de persistance. Chaque utilisateur de ma base de données en a un unique et aléatoire. Quand l'utilisateur s'identifie, je mets simplement ce jeton dans un cookie.
Ensuite, je dispose d'une méthode current_user de la forme :
def current_user
@current_user ||= User.find_by_token(cookies[:token]) if cookies[:token]
end
Après, il suffit de tester les rôles dont dispose l'utilisateur. Ou si son attribut admin est à true, ou que sais-je encore.
J'utilise pour ça le système d'ACL Declarative Authorization et ça marche bien et simplement.
Pour un site Web, je ne vois pas vraiment pourquoi faire plus compliqué.
RE: Page protégée - Viciousity - 23-08-2011
On se comprend Sephi
RE: Page protégée - niahoo - 26-08-2011
ben moi je mélangerais pas l'admin et les joueurs. pourquoi donner des droits d'admin a un compte joueur en particulier ?
RE: Page protégée - Sephi-Chan - 26-08-2011
Pour capitaliser ton système d'authentification. Avec un système role-based ça a du sens.