devlogquedulaapi
Devlog #8: Авторизация в админке
У нас есть внутренняя админка для управления контентом этого блога. Когда мы делали её, встал вопрос авторизации.
Для внутреннего инструмента с ограниченным числом пользователей мы выбрали HTTP Basic Auth. Это не то, что мы бы рекомендовали для продуктового интерфейса, но для внутреннего сервиса за HTTPS — вполне достаточно.
Главное правило: авторизация должна быть на слое nginx/reverse proxy, а не только в приложении. Это гарантирует что даже если в приложении есть баг, запрос без валидных credentials просто не дойдёт до кода.
Ещё один момент: Basic Auth credentials не должны быть захардкожены — только через переменные окружения.