Представляю уважаемому сообществу небольшое дополнение для доработки авторизации вашего сайта, а также для интеграции двух сайтов на Instantcms друг с другом.
Дополнение выполнено в виде отдельного компонента "Расширенная авторизация" с системным именем authplus.
Дополнение состоит из двух хуков и набора опций в админке для управления работой этих хуков.
Принцип работы дополнения примерно следующий:
В админке компонента "Расширенная авторизация" можно включить/выключить опции альтернативной авторизации и настроить поля для авторизации и доступ к удаленному сайту с установленным компонентом InstantCMS JSON API .
Адрес удаленного сайта в настройках нужно вводить вместе с http:// или https://
Ключ для подключения можно скопировать в админке удаленного сайта в настройках компонента InstantCMS JSON API.
Авторизация по API возможна только по паре email — пароль! Так устроен компонент InstantCMS JSON API.
При попытке авторизации с емейлом — паролем с удаленного сайта компонент получает данные пользователя с удаленного сайта и просто регистрирует его, как нового пользователя. При этом скачивается и загружается на сайт аватар пользователя.
Загрузить компонент "Расширенная авторизация"
Дополнение выполнено в виде отдельного компонента "Расширенная авторизация" с системным именем authplus.
Дополнение состоит из двух хуков и набора опций в админке для управления работой этих хуков.
Принцип работы дополнения примерно следующий:
В админке компонента "Расширенная авторизация" можно включить/выключить опции альтернативной авторизации и настроить поля для авторизации и доступ к удаленному сайту с установленным компонентом InstantCMS JSON API .
Ключ для подключения можно скопировать в админке удаленного сайта в настройках компонента InstantCMS JSON API.
Авторизация по API возможна только по паре email — пароль! Так устроен компонент InstantCMS JSON API.
При попытке авторизации с емейлом — паролем с удаленного сайта компонент получает данные пользователя с удаленного сайта и просто регистрирует его, как нового пользователя. При этом скачивается и загружается на сайт аватар пользователя.
Компонент конечно нужный. Инстанту явно не хватает сквозной авторизации между сайтами!!!
Но всего два сайта!!! Этого явно мало.
Считаю, что правильно - это когда пользовательские таблицы выделяются в отдельную базу или указываются в одной базе как общие для всех остальных сайтов. И для этого придется что то менять в Инстанте и расширять конфиг (или создавать дополнительный)...
Все это мечты! Когда они реализуются Fuze ответа не дает, так как понимает, что это уже начало мультисайтинга.
а что будет если емаил есть и там и там с разными паролями и авторизируется на первом сайте с паролем от второго через апи?
и второй момент, к основному сайту донору (условно или серверу) можно цеплять много (условно новых) сайтов по апи, чтобы с него на них тащили свои аккаунты пользователи?
Администратор и представители администрации сделать авторизация по ip. Доступ по айпи для админа в аккаунт. Такое делают?
Так же как в админке безопасность.
(Если кто то сольет данные, то авторизоваться все равно не смогут).
?
Если уж сильно хочется - выберете в качестве альтернативного поля для авторизации например site, потом в phpmyadmin в таблице cms_controllers в колонке options исправьте site на ip.
На хосте авторизация ограничение по ip для безопасности.
Авторизация не системная. Поэтому такой вопрос появился.
В безопасности не очень знаю. Спасибо;)
За три года 10 (десять) регистраций через соцсети...
Если это соцети, вывести только популярные кнопки. Если без них или для соцети нет email то генерирвать email по id юзера на домен сайта. После чего предлогать сменить пароль, или если хочет получать уведомления и иметь возможность восстановить пароль в случае утери то и email или секретное слово.
Я, например применяю авторизацию по уникальному полю логин (осталось с первой ветки).
Мало ли по каким полям можно сделать авторизацию.
Кому-то даже делал автоматическую авторизацию при добавлении контента гостем...
Это в принципе та же пара логин/пароль, просто вводится в одну строку.
Я предложил ещё больше упрастить регистрацию, а мне предложили вовсе отказаться от неё, это и посчитал бессмыслицей, выворачиванием на изнанку ))
Отказ от пароля === полный отказ от аутентификации.
Чтобы понять это даже не нужно быть специалистом по безопасности. Достаточно элементарной логики.
Поэтому "обстрактное" предложение авторизации по одному полю является "обсурдом".
/blogs/zapiski-dinozavra/avtorizacija-po-lyubym-poljam-iz-profilja-i-po-api.html#comment_113237
Год назад 25 значный сложный пароль не помог, подобрали.
Но этот компонент без изменения системный файлов.
А диметилтетроэтилхродиддизогонию использовать можно. Парадиметиламинобензальдегид тоже хорош.