0
<< предыдущая заметкаследующая заметка >>
27 ноября 2012
Сменил систему авторизации админа в движке

Вниманию владельцев движков! При очередном апгрейде движок собьется, и надо руками будет скопировать site_module/INSTALL.php. Уж извините за эту багу, все никак руки не дойдут сделать по-человечески защиту от такого сбоя, когда половина файлов обновилась, а половина еще нет.

Теперь про авторизацию админа. Исторически авторизация админа движка хранилась в отдельной куке. Так было проще и надежнее: что бы ни происходило в движке, админ оставался админом.

Но теперь у нас мощнейшая система логинов (особенно в многопользовательском режиме движка), которая привязана к IP (но автоматически самовосстанавливается при его смене) и поэтому хитроумно защищена от угонов. А вот админская кука наоборот: хранится в видимой области кук и представляет угрозу в многопользовательском движке.

Поэтому теперь админский доступ включается через систему логинов. В config.php существует некая переменная, в которой перечислены номера unic пользователей, назначенных админами (их может быть не один). Вписывать туда ничего руками не надо, для этого в /install теперь есть специальная кнопка «ADD ADMINS».

Короче. У нас теперь админских авторизации как бы две. Одна — старая для особых аварийных случаев, она пригодится только в /install и только в трех эпизодах:
1. Если пока нет ни одного аккаунта, объявленного админом. Тогда надо зайти в /install, набрать свой админский пароль, залогиниться, добавить в админы нынешний аккаунт и желательно после этого там же в /install кликнуть 'logout', потому что этот вариант авторизации вам больше не понадобится. А можете и не кликать — все равно старая админская авторизация теперь привязана к IP, и даже если вы перевели движок в многопользовтаельский, и у вас там хостится куча подозрительных личностей, и каждый пишет какие-то скрипты, то все равно они ничего не сделают.

2. Также чтобы сменить админский пароль вас попросят указать старый.

3. Также чтобы назначить кому-то (хоть себе) админские полномочия вас также попросят ввести админский пароль.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий


Include not found: `/home/www/lleo.me/blog/template/_reklamnaya_lirica.htm`