big_rbig_r MemberComments: 16 Received thanks: 2 Member since: April 3

Hallo,

wie kann ich nur das Backend https://url/admin per htaccess absichern?

Answers

  • Christian68Christian68 MemberComments: 2 Received thanks: 0 edited May 4 Member since: May 4

    Hallo big_r,

    bei mir geht das über die Bedienoberfläche des Providers. Dort kann ich ein Verzeichnis anwählen und dann per Knopfdruck einen Verzeichnisschutz einrichten.

    Hier wird automatisch eine .htaccess-Datei erstellt und das verschlüsselte Passwort dort eingetragen.

    Wenn Dein Provider das nicht anbietet, dann musst Du das händisch machen. 

    Ich sehe hier jedoch ein anderes Problem:

    Du musst schauen, ob das Verzeichnis, welches Du schützen möchtest, für die Funktion von Shopware nicht zumindest Leserechte benötigt. Aber da ich mit Shopware noch Beginner bin, kann ich hierzu nicht viel sagen. Ich würde mal unterstellen, dass die Shopware-Programmierer die Dateirechte der sensiblen Verzeichnsse schon so streng wie möglich gesetzt haben. Wenn Du die Rechte weiter einschränkst, dann funktioniert wahrscheinlich irgendetwas nicht mehr.

     

  • big_rbig_r MemberComments: 16 Received thanks: 2 Member since: April 3

    Hi,

    Die "/admin" route ist ja kein Verzeichnis, sondern wird ja von Shopware virtuell angelegt. Deswegen möchte ich nur diese Route schützen und die Routen, die benötigt werden, damit der Admin-Zugriff funktioniert. Das Frontend soll vom Passwort-Schutz nicht betroffen sein.

    In der Shopware 6 -Hilfe ist nur ein Beispiel, wie man das Frontend schütz und trotzdem Zugriff auf das Backend erhält.

    Ich brauche es genau anders herum.

    VG, Ronny

  • claudioclaudio MemberComments: 73 Received thanks: 15 Member since: January 17

    Disclaimer: Weiß grad nicht ob ich Quatsch schreibe ;).

    /admin ist ja quasi nur eine "statische" Seite. Die Admin Aufrufe gehen über /api/. Das wiederum kannst du nicht per htaccess schützen, weil du dort einen Token (JWT) brauchst, der den gleichen HTTP-Header (Authorization) nutzt wie der htaccess Schutz. 

    Aus welchem Grund möchtest du das machen?

  • big_rbig_r MemberComments: 16 Received thanks: 2 Member since: April 3

    Wie man die Aufrufe der API aus dem Schutz raus hält, ist ja in der Hilfe in dem Beispiel angegeben. Der .htaccess Schutz soll nur als zusätzliche Sicherheitsschicht dienen. Ich habe noch nicht nachgeschaut, aber werden Fehllogins in den Logs gespeichert, denn dann könnte man mit fail2ban die Sache angehen...

Sign In or Register to comment.