保护网站管理部门/区域的最佳方法是什么?

时间:2011-12-02 23:59:13

标签: .htaccess security admin

所以我在网上搜索,甚至在这里,它给了我this post,但它并没有给我我想要的答案。

我想在我的服务器上有一个名为/ admin / eg的标准目录www.mysite.com/admin。这将存储网站统计信息等以及有关该网站的其他“秘密”信息。

但保护该文件夹的最佳做法是什么?当然,我可以使用浏览器SESSIONS编写标准登录代码,但这很容易绕过 - 冒着SESSION劫持的风险。

我读到.htaccess保护目录?有人可以给我更多相关信息吗?

个人经历的任何提示也将受到赞赏。

谢谢, 坦率。

2 个答案:

答案 0 :(得分:1)

好吧,就像你说的那样,你总是可以使用htaccess和htpasswd进行基本身份验证(简单和快速配置),或者你可以使用php / mysql等设置经典的登录用户名/密码。

修改

这是关于htaccess / htpasswd的一些很好的信息 http://httpd.apache.org/docs/2.0/howto/auth.html

答案 1 :(得分:1)

保护这样的目录最好的确保方法是购买SSL证书并要求通过安全连接访问该区域。在这种情况下,会话劫持将极其极其困难,因为只有少数用户(以及几个会话)甚至可以访问管理面板,会话ID将通过安全连接加密而不是公开可见。另一个提示是为用户访问主网站(不受保护)和同一用户访问管理面板(受保护)创建单独的会话ID。

Stack溢出还有另一个主题,讨论了在确定使用哪一个时可能会发现有用的advantages and disadvantages of sessions vs HTTP authentication。我个人坚持使用会话,因为它提供了更大的灵活性,而HTTP身份验证为您提供了一个完全不可自定义的标准对话框。