Backend per htaccess absichern

Hallo,

wie kann ich nur das Backend https://url/admin per htaccess absichern?

Hallo big_r,

bei mir geht das über die Bedienoberfläche des Providers. Dort kann ich ein Verzeichnis anwählen und dann per Knopfdruck einen Verzeichnisschutz einrichten.

Hier wird automatisch eine .htaccess-Datei erstellt und das verschlüsselte Passwort dort eingetragen.

Wenn Dein Provider das nicht anbietet, dann musst Du das händisch machen. 

Ich sehe hier jedoch ein anderes Problem:

Du musst schauen, ob das Verzeichnis, welches Du schützen möchtest, für die Funktion von Shopware nicht zumindest Leserechte benötigt. Aber da ich mit Shopware noch Beginner bin, kann ich hierzu nicht viel sagen. Ich würde mal unterstellen, dass die Shopware-Programmierer die Dateirechte der sensiblen Verzeichnsse schon so streng wie möglich gesetzt haben. Wenn Du die Rechte weiter einschränkst, dann funktioniert wahrscheinlich irgendetwas nicht mehr.

 

Hi,

Die “/admin” route ist ja kein Verzeichnis, sondern wird ja von Shopware virtuell angelegt. Deswegen möchte ich nur diese Route schützen und die Routen, die benötigt werden, damit der Admin-Zugriff funktioniert. Das Frontend soll vom Passwort-Schutz nicht betroffen sein.

In der Shopware 6 -Hilfe ist nur ein Beispiel, wie man das Frontend schütz und trotzdem Zugriff auf das Backend erhält.

Ich brauche es genau anders herum.

VG, Ronny

Disclaimer: Weiß grad nicht ob ich Quatsch schreibe ;).

/admin ist ja quasi nur eine “statische” Seite. Die Admin Aufrufe gehen über /api/. Das wiederum kannst du nicht per htaccess schützen, weil du dort einen Token (JWT) brauchst, der den gleichen HTTP-Header (Authorization) nutzt wie der htaccess Schutz. 

Aus welchem Grund möchtest du das machen?

Wie man die Aufrufe der API aus dem Schutz raus hält, ist ja in der Hilfe in dem Beispiel angegeben. Der .htaccess Schutz soll nur als zusätzliche Sicherheitsschicht dienen. Ich habe noch nicht nachgeschaut, aber werden Fehllogins in den Logs gespeichert, denn dann könnte man mit fail2ban die Sache angehen…