webサイトのAdminページはどこにあるのが正しいのでしょうか？？

実現したいこと

公開するwebサイトの管理者ページを誰にも見られないようにしたいです。

発生している問題・分からないこと

レンタルサーバ・ドメインを借りてLaravelでwebサイトを構築しました。
ですが、管理者ページみたいなのはどこに設置するのが一般的なのでしょうか？

ローカルからレンタルサーバにあるDBにはアクセスできないようなので、
現在は管理者ページへアクセスされないようにURLを複雑にしてBasic認証を設定しています。

https://○○.jp ←ユーザ

https://○○.jp/admin ←管理者ページ

公開するサイトを構築するのは初めてのため、ご教示のほどよろしくお願いします。

該当のソースコード

特になし

試したこと・調べたこと

teratailやGoogle等で検索した
ソースコードを自分なりに変更した
知人に聞いた
その他

上記の詳細・結果

「設定したIPアドレスでなければアクセスできないようにする」といったこともヒットしたのですが、固定IPアドレスは費用がかかるため技術的に解決したいです。

補足

特になし

行動規範の内容に同意します

回答4件

Laravelを知らない人の適当な回答は迷惑すぎる。

Laravelでは「認可」機能を使う。「認証」と「認可」は別なのでしっかり理解が必要。
https://laravel.com/docs/11.x/authorization

AppServiceProvider@bootで定義。

php
1namespace App\Providers;
2
3use App\Models\User;
4use Illuminate\Support\Facades\Gate;
5use Illuminate\Support\ServiceProvider;
6
7class AppServiceProvider extends ServiceProvider
8{
9    public function boot(): void
10    {
11        Gate::define('admin', function (User $user) {
12            return in_array($user->email, [
13                'admin@example.com',
14            ]);
15        });
16    }
17}

ここので$userは認証済みなのでログインしてるかどうかは気にしなくていい。
認証済みユーザーのメールアドレスが条件を満たしていたらadmin権限を持つ、として扱う。
クロージャの中身は自由なのでメールアドレス以外でもなんでもいい。管理者を特定できればいい。
ログインしてるかどうかの確認が認証。
認証済みユーザーに対してさらに細かい権限を確認するのが認可。

認可を定義したらroutes/web.phpで使用。これで/adminページは管理者以外は表示できない。

php
1Route::get('admin', AdminController::class)
2    ->can('admin');

もう少し現実的にgroupなら。/admin/*以下は管理者しか表示できない。

php
1Route::prefix('admin')->group(function () {
2    Route::get('/', DashboardController::class);
3    Route::get('users', UserController::class);
4})->can('admin');

認可はbladeでも使えるので管理者のみ管理画面へのリンクを表示とかもできる。

php
1@can('admin')
2<a href="{{ route('admin.dashboard') }}">管理画面</a>
3@endcan

Laravel公式パッケージを見れば同じことしてると分かる。
https://laravel.com/docs/11.x/pulse#dashboard-authorization

Laravelには認可機能が標準で用意されてるので一般ユーザーと管理者を分けるようなマルチ認証は不要。
日本にはLaravelをまともに使える人が少ないのでこんなちょっとした管理者権限のためにマルチ認証を使う100%間違った情報が広まってしまっている。
海外ではマルチ認証の使い方の質問に対して「マルチ認証は使うな」という回答が必ず付くほど「Laravelでマルチ認証は絶対に使うな」が常識。
日本だけがおかしいので「認可」が出てこない日本語の情報はすべて無視したほうがいい。

投稿2024/07/11 02:00

退会済みユーザー

総合スコア0

ベストアンサー

正しいというものはありません。他の人から類推されたくないということであれば、URLを適当なランダムの文字列にしとくのも一つの手だと思います。あと、Basic認証を使うのではなく、Laravel側で認証機能を実装した方がより安全かと思います。

参考）
https://zenn.dev/seiya0/articles/tech-laravel-multi-login
https://www.aeyescan.jp/blog/basic-authentication/

投稿2024/07/10 14:12

AbeTakashi

総合スコア4820

明確に切り分けたいならサブドメインを設定して、バーチャルドメインで管理すればメインサイトと管理サイトは別のサイトとして運用可能でしょう。もちろんサブドメインではなく別ドメインにしてもよいのですが

投稿2024/07/11 01:57

yambejp

総合スコア116443

Laravelはよく知らないので、一般論ですが、URLのパス部分をランダムで長い文字列にしているのなら、
ほぼそれで良いかと思います。もちろん、Basic認証は簡単に付けられるので付けるに越したことはない。

「設定したIPアドレスでなければアクセスできないようにする」といったこともヒットしたのですが、固定IPアドレスは費用がかかるため技術的に解決したいです。

私も固定IPではないのですが、自宅光回線だと、1-3年は同じIPアドレスです。

また、/etc/hosts に mypc というエントリーを登録してあり、それに対しての許可を与えており、
毎日タイマーで、「サーバーにログインして、こちら側IPアドレス($SSH_CLIENT)がmypcの値と変化していれば、/etc/hostsのmypcエントリーを更新する」という処理を行っていますので、ほぼコストゼロでIPアドレス制限も行えています。
IPアドレス値でなくホスト名での許可なので、Apacheの場合だとIP⇒ホスト名の逆引きがOnになってしまいます。それがいやなら、/etc/hostsを更新するのでなくApacheのconfファイルを更新してリロードでしょうか。

管理画面へのログインだけの話なので、私のように1-3年は同じIPアドレスなら、上記のような自動更新をせずとも、管理画面にログインできずIPアドレスが変わっているなと気づいた時点で、手動でconfファイルを更新してリロードするという対応でも良いかと思います。元のIPアドレスが割り振られた赤の他人からアクセス可能な時間帯も発生してしまいますが。

投稿2024/07/11 00:34