管理セクションを持つサイトを開発しています。これを Google で検索したところ、これを実装する最善の方法に関して矛盾する情報が (ブログで) 見つかりました。SO開発者の何人かがこれについて直接経験してくれることを願っています。
login.cfm および login_process.cfm ファイルを管理エリア内に配置するのと、認証が完了してからユーザーを管理エリアにルーティングするの とでは、どちらが適切ですか? またはそれは本当に重要ですか?主に、ハッキングを防ぐためにアカウントを持っていない人に管理領域の場所を隠すためだけに、認証後にユーザーを管理領域にルーティングする側に傾いています。
あなたの回答をサポートするリンクは高く評価されますが、矛盾する回答が得られない限り必須ではありません。:)
ログイン スクリプトがどこにあるかは、セキュリティ上はまったく問題ではありません。
重要なのは、ユーザーが署名するまで管理 URL がどこにあるかわからないという事実に頼るのではなく、安全なスクリプトへのアクセスを許可する前に、ユーザーが認証および承認されていることを実際に確認することです。管理者の URL が Google によってインデックス化され、偶然見つけた人が誰でもアクセスできるようになっている壊れたサイトをどれだけ見たことか、わかりません。
したがって、認証プロセスには 2 つのステップが必要です。
認証 (login.cfmおよびlogin_process.cfmスクリプト)。これにより、ユーザーの資格情報が確認され、通常はユーザーのsessionスコープに何かが設定されます。
承認 (管理領域)。これにより、ユーザーがログインしているsessionかどうか (手順 1 で設定した変数を参照)、および (ロールまたはアクセス許可ベースの承認を実装している場合) ユーザーが要求されたリソースにアクセスできるかどうかがチェックされ、エラーが表示されます。そうでない場合はリダイレクトします。
ディレクトリ全体を保護しようとしている場合は、通常、これをapplication.cfm|cfc管理ディレクトリに実装するのが最も簡単です (したがって、そのディレクトリ内のすべてのページで自動的に呼び出されます)。そのルートに進む場合loginは、保護されたディレクトリの外にスクリプトを配置するのが最も簡単になるため、ログイン スクリプトにアクセスするためにユーザーがログインする必要がなくなります。
cf は cfm ファイルのみを保護できることに注意してください。URL を知っていれば、画像、.html、.pdf ドキュメントなどへのアクセスを止めることはできません。したがって、何を保護したいかによって異なります。単純な管理領域であれば、これで十分でしょう。最適なセキュリティのために、非 cf ファイルとリソースを保護する必要がある場合は、htaccess などを使用してフォルダー全体とその中のすべてを保護する必要があります。小規模で cfcontent を使用してそれを行う方法があります。