MajorDoMo

longmaster писал(а): Ср фев 27, 2019 10:25 am Поделюсь своей реализацией.
Почему-то не увидел в теме никаких упоминаний проблемы разделения доступа для разных пользователей. Я у себя в целом решил вопрос доступа связкой https и http basic авторизации штатными средствами nginx. Мне такой вариант видится более предпочтительным, чтобы исключить возможные уязвимости в PHP-движке или самом Majordomo. Да, в Majordomo есть собственная реализация, но там никак не решён вопрос с несколькими пользователями.
Majordomo пришлось доработать, чтобы nginx-пользователи автоматически идентифицировались в Majordomo. Пока не делал систему администрирования пользователей nginx, обхожусь командной строкой.
HTTPS поднял на официальных бесплатных сертификатах letsencrypt. Так что в итоге требуется минимум телодвижений для доступа любого пользователя системы из любой точки сети. Имя-пароль у пользователей сохранены в их браузерах или настройках мобильного приложения, надо только время от времени жмакать кнопку "ок" на запросе авторизации. Не надо никаких лишних движений с поднятием VPN-соединения, да и остаётся возможность подключиться с чужого терминала.
Пока остался нерешенным вопрос с доступностью websocket из инета, штатно они работают по нешифрованному соединению, не хочу в таком виде выставлять их наружу.
Если подобные настройки кому-то интересно, могу расписать подробнее.

longmaster писал(а): Ср фев 27, 2019 10:25 am Если подобные настройки кому-то интересно, могу расписать подробнее.

ZyaK писал(а): Ср ноя 28, 2018 10:54 am Всем доброго времени,
расшарил доступ к умному дому через облако KeenDNS, в конфиг пхп раскомментировал домашнюю сеть, логин и пароль прописал.
но видимо при входе через облако от кенетика он думает, что я нахожусь в домашней сети и пароль не спрашивает.
то же самое и на телефонах.
как с этим быть?
IP естественно серый(живу не в городе, только мобильный интернет)

// Авторизация
$allows = [ // Список объектов или сценариев, которым открыт доступ снаружи через GET запросы:
	'you_script_name_1',
	'you_script_name_2',
	'you_object_name_1',
	'you_object_name_2'
];
$access = false;
if(preg_match("/^192\.168\.1\.(3[3-9]|[4-9][0-9]|1[0-2][0-9]|13[0-3])$/", $_SERVER['REMOTE_ADDR'])) $access = true; // из домашней сети в диапазоне (192.168.1.33 - 192.168.1.133)
if($_SERVER['SCRIPT_NAME'] == '/objects/index.php'  // сценарий или метод из списка разрешенных
  	&& (in_array($_GET['script'], $allows) || (in_array($_GET['object'], $allows) && $_GET['op'] == 'm'))
  ) $access = true;
if(!$access){
	Define('HOME_NETWORK', '0.0.0.0');
	Define('EXT_ACCESS_USERNAME', 'you_username');
	Define('EXT_ACCESS_PASSWORD', 'you_password');
}// конец авторизации

Vittaly писал(а): Пн сен 21, 2020 4:18 pm В общем, если кому-то будет полезно. Не в качестве рекламы. Я себе реализовал защиту админки при входе через паблик интернет стандартными средствами KeenCloud: https://help.keenetic.com/hc/ru/articles/360002171280
Суть в том, что авторизацию осуществляет сам роутер. Т.е. пускает дальше на сервер в домашней сети только авторизованных пользователей. Дополнительная плюшка - доступ к WEB-ке сразу через https.

SmoKE_xDDD писал(а): Пн сен 21, 2020 9:19 pm Этого не достаточно...

Vittaly писал(а): Вт сен 22, 2020 7:17 am

SmoKE_xDDD писал(а): Пн сен 21, 2020 9:19 pm Этого не достаточно...

Но всё же лучше, чем ничего. И по-моему более надёжно, чем через конфиг апача включать авторизацию.
А кстати, почему недостаточно, и что было бы достаточно? Я просто не очень в этом силён, интересно мнение знающих людей...