如何确保用户在访问Kohana用户指南和用户之前已登录API浏览器?

时间:2012-03-27 06:40:40

标签: php kohana kohana-3 kohana-auth

我意识到我的网站上有一点安全漏洞,特别是当它处于开发模式时。

问题是您可以在不登录的情况下访问用户指南/ API浏览器。现在用户指南不是什么大问题,但API浏览器有点担心,因为我的所有代码都是可见的它。我有点担心,因为我的一些开发网站是公开的,所以其他人可以访问(尽管他们已被阻止被编入索引)。

我已经看过Controller_Userguide,并没有像其他控制器那样从另一个控制器扩展(例如模板)。相反,它是最终的控制者。在这种情况下,我不允许将控制器扩展到before()方法。

我想在用户未登录时排除模块,但我不能,因为尚未加载auth模块。

我在开发网站上已经只包含了用户指南(和其他模块),所以这有帮助,但我不会称之为安全性。

关于如何实现这一目标的任何其他想法?

1 个答案:

答案 0 :(得分:2)

是否有任何理由允许登录用户查看用户指南?

我会在bootstrap

中添加这样的东西 
//Add modules that are only relevant to local development
if(Kohana::$environment == Kohana::DEVELOPMENT)
{
    Kohana::modules(array_merge(Kohana::modules(), array(
        'codebench'  => MODPATH.'codebench',  // Benchmarking tool
        'userguide'  => MODPATH.'userguide',  // User guide and API documentation
        'unittest'   => MODPATH.'unittest',   // Unit testing
    )));
}

然后,任何面向公众的网站都会将$environment更改为其他内容,例如STAGINGTESTING 

Kohana::$environment = Kohana::TESTING //In the bootstrap file

替代地 

SetEnv KOHANA_ENV TESTING //to the .htaccess file

选项2 - 首先加载auth模块

我刚试过这个,似乎对我有用。在您的引导程序文件中,加载如下模块:

/**
 * Enable modules. Modules are referenced by a relative or absolute path.
 */
Kohana::modules(array(
    'auth'       => MODPATH.'auth',       // Basic authentication
    'cache'      => MODPATH.'cache',      // Caching with multiple backends

    'database'   => MODPATH.'database',   // Database access
    'image'      => MODPATH.'image',      // Image manipulation
    'orm'        => MODPATH.'orm',        // Object Relationship Mapping
));

//Add modules that are only relevant to testing
if(Kohana::$environment == Kohana::DEVELOPMENT and Auth::instance()->logged_in())
{
    Kohana::modules(array_merge(Kohana::modules(), array(
        'codebench'  => MODPATH.'codebench',  // Benchmarking tool
        'userguide'  => MODPATH.'userguide',  // User guide and API documentation
        'unittest'   => MODPATH.'unittest',   // Unit testing
    )));
}

选项3 - 隔离API浏览器

userguide config中有一个配置选项:

// Enable the API browser.  TRUE or FALSE
    'api_browser'  => TRUE,

如果用户未登录,您可以将其设置为false,类似于上面模块的加载。目前它是一个错误,它崩溃了用户指南模板,因为它无法找到API的路由。

如果你想努力让它发挥作用(直到有更新),然后将/modules/userguide/views/userguide/template.php复制到/application/views/userguide/template.php,然后用以下代码替换28到30行:

<li class="api">
    <a href="<?php echo (Kohana::$config->load('userguide.api_browser') === TRUE)?Route::url('docs/api'):'#'; ?>"><?php echo __('API Browser') ?></a>
</li>

并将其放入/application/config/userguide.php

<?php defined('SYSPATH') or die('No direct script access.');
$config = array();
if(Kohana::$environment == Kohana::DEVELOPMENT and Auth::instance()->logged_in())
{
    $config['api_browser'] = FALSE;
}
return $config;
相关问题
最新问题