Пароли БД PHP: Управление пользователями «admin» и «только для чтения»

Question

Я прочитал "how-to-secure-database-passwords-in-php" , который рекомендует хранить пароль в конфигурационном файле за пределами веб-корня приложения, но какой шаблон я должен использовать, если я хочу контролировать "администратора" и "только для чтения" пользователей моего сайта. Когда администратор входит в систему, я должен иметь возможность загрузить файл пароля конфигурации администратора, и наоборот. Я хочу использовать одну и ту же модель домена для обоих пользователей. Должен ли я моделировать объект «Роль» и управлять этим паролем, который используется? или есть более простое решение. Также мне следует создать два отдельных файла конфигурации паролей или объединить обе учетные записи в один файл?

С уважением,

Answer 1

Все пароли, кроме пароля к БД, должны храниться в БД и хэшироваться в одном направлении. Это самый простой, самый распространенный метод и очень безопасный. И да, хранение пароля базы данных в файле конфигурации над корневым веб-каталогом также является хорошей идеей.

Answer 2

Ну, нет единого «правильного» ответа на это. Это зависит от сложности и объема вашего проекта, но, что более важно, зависит от изменяющейся природы вашего проекта.

Если вы ожидаете множество изменений и дополнений от разных людей, которым необходим доступ администратора или доступ только для чтения, то да, вам нужно будет использовать слой модели для хранения и доступа к паролям. Ролевый объект может быть полезен, если вам нужно получить доступ к более детальным разрешениям / привилегиям в разных частях вашего приложения. В противном случае, возможно, допустимо иметь одно логическое поле isAdmin или целое / перечисление в поле роли.

Единственный случай, когда может потребоваться пароль пользователя в файле конфигурации, - это редкий доступ к администратору, и только один или два человека. В противном случае вы хотите рассматривать пароли как полноценную часть модели вашего приложения.