Q&A
セキュリティポリシーや要望によって変わってくると思います。
良く見るのは、user用のログインURLと、admin用のログインURLが
まったく別にすることでしょうか。
現在マルチログインwebアプリを個人制作していて、userのcrud機能を持つadminとそれ以外の機能を持つuserという形で実装しようと思っています。
そこでいくつか疑問に思ったことがあります。
- そもそもadmin機能はuser側から存在することを隠匿した方がいいのか
- 隠匿する場合admin画面への動線はどのように設定するのか(adminにadmin用ログイン画面のurlを通知する等)
以上が疑問点になります。
教えていたければ幸いです。
重要なポイントは一般 user が admin に昇格することがありうるのか? ってことかと…。
ぁあユーザーのレベルの話だったか…
質問者さん、無言ですが、回答がでているのでそれらに対するフィードバックを返してください。役に立った/立たなかったぐらいは返せるのでは? 役に立たなかったならどこがダメかを書くとより期待に近い回答が出てくるかも。解決しているなら解決に役立った回答にベストアンサーをつけてクローズしてください。とにかく無言は NG です。
回答2件
0
ベストアンサー
そもそもadmin機能はuser側から存在することを隠匿した方がいいのか
その「隠匿」というのがどういうレベルの話なのか不明です。
匿名ユーザ・一般ユーザーに公開されているページのメニューに「管理画面」へのリンクは表示しないとか、存在が分からないようにするというレベルの話であれば、そうすべきと思います。
隠匿する場合admin画面への動線はどのように設定するのか(adminにadmin用ログイン画面のurlを通知する等)
認証と承認という言葉をご存じですか? 簡単に言うと:
認証: 「あなたは誰?」に答える
承認: 「何ができるの?」に答える
・・・ということなのですが、「admin画面」には「承認」の過程でアクセスをコントロールするのが良さそうです。
例えば、ASP.NET Web アプリにはフレームワークにロールという承認の機能が組み込まれてます。質問者さんの使うフレームワークにもそういう機能がないか探してみてはいかがですか。
ASP.NET Web アプリの場合どうなっているかと言うと、以下の画像のように各ユーザーにロールをアサインし、「admin画面」には Administrator ロールを持つユーザー以外はアクセスできないようにすることが可能です。
【追記】
さらに、Administrator ロールを持っているユーザーにのみ管理画面へのリンク(上の画像で言うとメニューバーの User と Role)を表示するということも可能です。
投稿2022/07/27 01:23
編集2022/07/27 01:35退会済みユーザー
総合スコア0
0
まぁユーザー機能があるサービスで管理機能がないということ自体が不自然なので、
通常は「あるもの」としてユーザーは利用します。
お問い合わせ機能があれば当然管理機能があることは分かりますし。
無理に隠そうとしなくて良いでしょう。
あとは「管理機能」で何を管理、操作するか次第です。
DBだけ共通なのであれば、クライアントアプリ(ログインはもちろんあり)にすれば
Webからのアクセスは防げます。
ドメイン自体変えるとかでも良いでしょうけど、
いずれにしてもDBがアクセスできる場所に置かなければいけません。
※クライアントアプリだとおそらくDBアクセスはWebAPI通すことになるので
そのあたりの作り込みは面倒かもしれませんが。
投稿2022/07/27 00:05
総合スコア80854
あなたの回答
tips
プレビュー
