Legendary Trio
devlogquedulaapi

Devlog #8: Авторизация в админке

У нас есть внутренняя админка для управления контентом этого блога. Когда мы делали её, встал вопрос авторизации.

Для внутреннего инструмента с ограниченным числом пользователей мы выбрали HTTP Basic Auth. Это не то, что мы бы рекомендовали для продуктового интерфейса, но для внутреннего сервиса за HTTPS — вполне достаточно.

Главное правило: авторизация должна быть на слое nginx/reverse proxy, а не только в приложении. Это гарантирует что даже если в приложении есть баг, запрос без валидных credentials просто не дойдёт до кода.

Ещё один момент: Basic Auth credentials не должны быть захардкожены — только через переменные окружения.