Аутентификация и управление устройствами входа

Authentication Management и Login Device Management защищают админ-панель ImgBed, публичную страницу загрузки и WebDAV-доступ.

На этой странице можно настроить учетные данные доступа, просмотреть устройства, которые входили в систему, и при необходимости отозвать старые сессии.

Где это настраивается

Откройте админ-панель и перейдите в:

System Settings -> Security Settings

На странице есть две основные области:

• Authentication Management
• Login Device Management

Для чего нужен Authentication Management

Authentication Management хранит учетные данные доступа.

Есть два типа:

• аутентификация пользовательской стороны;
• аутентификация админ-стороны.

Аутентификация пользовательской стороны

Аутентификация пользовательской стороны — это пароль для загрузки.

После установки пароля обычные посетители должны ввести его перед использованием страницы загрузки. Это полезно, если вы не хотите открывать публичную страницу загрузки для всех.

Настройка пароля загрузки

Когда пароль загрузки настроен:

• посетители должны ввести пароль перед использованием страницы загрузки;
• загрузка доступна только после принятия пароля;
• если включены сессии устройств пользовательской стороны, ImgBed записывает это устройство.

Изменение пароля загрузки делает старые пользовательские сессии недействительными. Посетителям нужно будет ввести новый пароль.

Аутентификация админ-стороны

Аутентификация админ-стороны использует имя администратора и пароль.

Она защищает админ-панель. Для production-сайта ее стоит всегда настраивать.

Настройка учетных данных администратора

Когда имя администратора и пароль настроены:

• открытие админ-панели требует входа;
• успешный вход создает запись admin device;
• в Login Device Management можно просматривать, чистить или принудительно выводить устройства офлайн.

Изменение имени администратора или пароля делает старые admin sessions недействительными. Нужно будет войти снова.

Для чего нужен Login Device Management

Login Device Management показывает устройства, которые входили в систему.

Он помогает проверить:

• какие устройства открывали админ-панель;
• какие устройства открывали пользовательскую страницу загрузки;
• какие WebDAV-клиенты подключались;
• действительна ли сессия устройства;
• нужно ли принудительно вывести старые устройства офлайн.

На странице есть три вкладки:

• Admin
• User
• WebDAV

Глобальная безопасность cookie

В верхней части Login Device Management можно настроить глобальное поведение cookie.

User Cookie Lifetime

Определяет, сколько дней пользовательский вход может оставаться активным.

Например, если установить 14 дней, посетителям обычно не нужно повторно вводить пароль загрузки в течение 14 дней.

Admin Cookie Lifetime

Определяет, сколько дней вход администратора может оставаться активным.

Например, если установить 14 дней, администраторам обычно не нужно повторно входить в течение 14 дней.

Secure Mode

Когда Secure mode включен, браузеры отправляют login cookies только через HTTPS.

Включайте его для production-сайтов с HTTPS. Не включайте для локального HTTP-тестирования, иначе можно получить поведение вроде "вход успешен, но после обновления страницы меня выбрасывает".

Устройства входа администратора

Вкладка Admin показывает устройства, которые входили в админ-панель.

Записи устройств появляются только после настройки admin credentials и входа в админ-панель через форму логина.

Карточка устройства может показывать:

• информацию об устройстве и браузере;
• IP первого входа;
• IP последней активности;
• время входа;
• время последней активности;
• время истечения сессии;
• текущий статус.

Если видите незнакомое устройство, используйте Force Offline, чтобы сделать его сессию недействительной.

Очистка старых устройств

Clean Up Old Devices массово удаляет старые записи входа в текущей вкладке.

Используйте это, если подозреваете, что старые сессии на других устройствах все еще могут быть активны.

Force Offline

Force Offline делает недействительной одну сессию устройства.

После принудительного вывода устройства офлайн:

• admin devices должны войти снова;
• устройства пользовательской стороны должны снова ввести пароль загрузки;
• WebDAV-клиенты должны пройти аутентификацию еще раз.

Просроченные или недействительные устройства также можно удалять.

Выход с текущего устройства

Карточка текущего устройства помечена как Current Device.

После выхода с текущего устройства:

• текущая admin session завершается;
• текущая user-side session завершается.

Чтобы продолжить пользоваться соответствующей областью, нужно войти снова.