Авторизация MODX Revo - про блокировки
Всем привет.
Не совсем понятен принцип работы авторизации пользователя в MODX Revo, а точнее блокировка. Если 5 раз был введен логин пользователя и при этом неправильный пароль, то пользователь будет заблокирован на 60 минут. Я правильно понимаю, что в эти 60 минут никто не сможет войти под этим пользователем, пока его не разблокируют вручную через БД или в админке? В таком случае, если кто-то настроит автоматический подбор пароля на какого-то пользователя, то он будет не вылезать из блокировок? Все это как-то не очень звучит.
Как выход может быть авторизация через соцсети, но это не всегда подходит. Да и все равно вход в админку работает по тем же принципам и там авторизацию через соцсети не настроишь. И если знать адрес входа в админку и логин администратора, то можно также его постоянно блокировать.
Собственно, вопрос. Не правильнее ли после третьего неправильного ввода просто начинать показывать recaptcha, а если и блокировать, то конкретные ip? Кто-то реализовывал у себя что-то подобное?
Не совсем понятен принцип работы авторизации пользователя в MODX Revo, а точнее блокировка. Если 5 раз был введен логин пользователя и при этом неправильный пароль, то пользователь будет заблокирован на 60 минут. Я правильно понимаю, что в эти 60 минут никто не сможет войти под этим пользователем, пока его не разблокируют вручную через БД или в админке? В таком случае, если кто-то настроит автоматический подбор пароля на какого-то пользователя, то он будет не вылезать из блокировок? Все это как-то не очень звучит.
Как выход может быть авторизация через соцсети, но это не всегда подходит. Да и все равно вход в админку работает по тем же принципам и там авторизацию через соцсети не настроишь. И если знать адрес входа в админку и логин администратора, то можно также его постоянно блокировать.
Собственно, вопрос. Не правильнее ли после третьего неправильного ввода просто начинать показывать recaptcha, а если и блокировать, то конкретные ip? Кто-то реализовывал у себя что-то подобное?
Комментарии: 7
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
На новом проекте вход в аккаунт по ссылке с почты, никаких подборов паролей.
Для меня решение куда более простое -обычная авторизация, которая встроена в nginx/apache
Для этого просто в конфиг сайта, что в /etc/nginx/site-avaliable/
добавить в location /<что закрываем> {
ну и по указанному пути создать файл .htpasswd (назвать можете как Вам угодно) и записать туда сгенерированный утилиткой htpassw имя юзеров: пароль, притом утилита есть и онлайновая, например вот эта
И он никак не связан с базой modx.
Всегда в админку можно зайти из любого места, к примеру с телефона или планшета через3G, без привязанности к ip. Каждому свое, мне так удобней например