WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)

FrontendUser

<< < (3/3)

crnogorac081:
It could be both user and group , user to inherit group setting by default, but poasibility to override for some specific user.. anyway i think for this is required minimal code modification..

evaki:
Wenn's geht, bitte auch 'ne eigene Session_id.

Hatte schon mal intern angeregt grundsätzlich unterschiedliche Session_id für FE und BE zu vergeben.
Hintergrund ist die manchmal gewollte Unterdrückung von FE-SessionCookie (kann man im Template über set header anweisen). Dabei entstehen unerwünschte Nebenwirkungen im BE, wenn man ein und denselben Browser für FE und BE nutzt.  -wenn man's weiß, benutzt man unterschiedliche...
MfG. Evaki

jacobi22:
Ich denke, es wird hier der Fehler gemacht, FrontendUser mit FrontendEdit gleich zu setzen

Ich verstehe den Eingangsthread so, das es im Projekt Seiten gibt, die eine Registrierung erfordern, die die Sichtbarkeit "registriert" haben. Nebeneffekt dieser Registrierung ist aber, das jeder registrierte User automatisch in das Backend kommt bzw kommen kann. Mit einer entsprechenden Rechtesetzung kann ich die Permissions aber auf das persönliche Profil beschränken. Das funktioniert im Backend wie auch im Frontend.

Aufgabenstellung (nach meinem Verständnis): wie verhindere ich den Login ins Backend?

am sichersten ist die Lösung .htaccess +.htpasswd. Nur sie verhindert, das man überhaupt zur Login-Maske kommt. Denn ist der User einmal da, darf er sich mit seinen gültigen Logindaten dort auch anmelden. Ich setze nun voraus, das dort wiederum die Rechteverwaltung entsprechend eingestellt wurde, aber das war ja nicht die Frage.
Diese Variante wäre unabhängig von der Core-Entwicklung und gilt auch als sicher. Man könnte hier ein gemeinsames Passwort benutzen, das man den Redakteuren mitteilt oder eine Userliste anlegen. Scheidet dann jemand aus, entfernt man ihn aus der Liste. Vor- und auch Nachteil ist es, das die Redakteure hier kein Passwort selbständig ändern können

Alle anderen Lösungen, auch die von mir mit einem separatem Recht, erfordern einen Eingriff in den Core, der auch recht umfangreich sein müßte

evaki:

--- Quote ---am sichersten ist die Lösung .htaccess +.htpasswd.
--- End quote ---

Das einzige was -nur aus meiner aktuellen Sicht- dagegen spräche, ist die Äbhängigkeit von einem Server(typ), WB war bis dato nicht serverabhängig -z.B. auch nicht in Sachen Sicherheit.

Bin mir aber relativ sicher, daß irgendwem aus der WB-Gemeinschaft noch was einfällt oder eine Idee verdichtet. Immerhin kommen da einige Jahre an Erfahrung zusammen.

Sollte es als unabhängige Lösung vom Core stehenbleiben, spricht natürlich überhaupt nichts dagegen, bzw. spielt das überhaupt keine Rolle. Alternativen für .htaccess +.htpasswd  stellen einige Server bereit (auch der von mir genutzte NGINX)

MfG. Evaki

Navigation

[0] Message Index

[*] Previous page