如何让 Discuz! X 的后台更安全

monkeye

如何把 X 的后台保护起来？这是一个历史问题，有人说把 admin.php 删掉，有人说把 admin.php 改名，还有人说通过 nginx 配置限制下 ip


嗯，这些方法都可以，都很好，也是一直以来大家都常用的方法，但是在 X5 里，我们本着将开放进行到底的原则，讲讲新方法

首先，以下方法在 admin.php 文件不存在的时候才有效，改名就没必要的，直接删了吧，因为对于 X5 来说 admin.php 实际上只是一个跳转链接而已

在 config/config_global.php 文件结尾加上以下内容：

1. $_config['admincp']['validate']['method'] = 'default';
   
2. $_config['admincp']['validate']['user'] = 'abc';
   
3. $_config['admincp']['validate']['pass'] = '123';

复制代码

然后你用此链接登录后台 /?app=admin，你会发现登录后额外弹出了“Authenticate”方式的二次校验！

神奇不！？咳咳，这只是开胃小菜，我们说正经的

我们把 method 改成任何一个值

1. $_config['admincp']['validate']['method'] = 'sample';

复制代码

（child 是曾经说过的内容，看这里 https://www.dismall.com/thread-23848-1-1.html）
代码如下，只是一个简单的 input 表单和固定的密码 12345


然后我们测试下效果，首先正常登录：

正常登录后额外弹出了这个 input，我们输入 12345 后才能正常登录


是的，我们可以用插件的方式给我们的管理后台做二次校验功能了，你还想到了什么更安全的方式？要不要写起来？

维清

沙發已占位。

凹凸曼

科站网

今天忙，没抢到