សុវត្ថិភាព និងការគ្រប់គ្រងរបស់អ្នកគ្រប់គ្រង
FinNote ប្រើគំរូសិទ្ធិចូលប្រើយ៉ាងប្រុងប្រយ័ត្ន៖ ព័ត៌មានសាធារណៈនៅតែសាធារណៈ ខណៈដែលអ្វីៗដែលផ្លាស់ប្តូរស្ថានភាពកម្មវិធី ឬបង្ហាញទិន្នន័យកម្រិតគណនី ត្រូវស្ថិតក្រោយការផ្ទៀងផ្ទាត់ និងការត្រួតពិនិត្យតួនាទី។
ព្រំដែននៃការផ្ទៀងផ្ទាត់
- អ្នកប្រើដែលមិនបានផ្ទៀងផ្ទាត់ អាចរុករកទំព័រសាធារណៈ និងម៉ាស៊ីនគណនាសាធារណៈ។
- អ្នកប្រើដែលបានផ្ទៀងផ្ទាត់ អាចចូលប្រើផ្ទាំងគ្រប់គ្រង ចំណាយ ចំណូល ប្រភេទ និងគោលដៅ។
- អ្នកប្រើផ្នែកគ្រប់គ្រង ទទួលបានសិទ្ធិទៅកាន់ទំព័រត្រួតពិនិត្យ លុះត្រាតែមានតួនាទី និងសិទ្ធិត្រឹមត្រូវ។
ការការពារស្នូល
- ពាក្យសម្ងាត់ត្រូវបានរក្សាទុកដោយប្រើ Argon2id hashing។
- ផ្លូវដែលផ្លាស់ប្តូរស្ថានភាព ប្រើ CSRF token។
- Query កម្រិតអ្នកប្រើ ការពារការរំលោភគណនីឆ្លងគ្នា។
- Role middleware និង permission middleware ទប់ស្កាត់សកម្មភាព admin ដែលមានភាពរសើប។
សវនកម្ម និងការត្រួតពិនិត្យ
លំហូរការងារផ្នែកគ្រប់គ្រង គួរតែអាចត្រួតពិនិត្យបាន មិនមែនមើលមិនឃើញទេ។
- ការផ្លាស់ប្តូរតួនាទីអ្នកប្រើ និងសកម្មភាពដែលមានភាពរសើបចំពោះសិទ្ធិចូលប្រើ បង្ហាញនៅក្នុងកំណត់ហេតុសវនកម្ម។
- ទិន្នន័យការគណនា អាចត្រូវបានត្រួតពិនិត្យពីផ្នែក admin។
- ទិន្នន័យសុខភាពប្រព័ន្ធ ផ្តល់នូវទិដ្ឋភាពប្រតិបត្តិការយ៉ាងលឿន។
សុវត្ថិភាពផ្នែកគ្រប់គ្រងលើទូរស័ព្ទ
ផ្ទៃ admin ត្រូវបានកែសម្រួលដោយចេតនា សម្រាប់អេក្រង់តូច។
- តារាងធំៗត្រូវបានបម្លែងទៅជាកាតជង់លើទំព័រសំខាន់ៗ។
- សកម្មភាពរហ័សនៅតែអាចចូលដំណើរការបាន ដោយមិនពឹងផ្អែកលើការប្រើ sidebar ដែលងាយបរាជ័យ។
- ប្លង់ mobile កាត់បន្ថយការប៉ះប៊ូតុងបំផ្លាញដោយចៃដន្យ បើប្រៀបធៀបនឹងតារាងតឹងចង្អៀតតាមផ្តេក។
បញ្ជីផ្ទៀងផ្ទាត់
- បញ្ជាក់ថាអ្នកប្រើស្តង់ដារ ទទួលបាន forbidden response នៅលើផ្លូវ admin។
- បញ្ជាក់ថាគណនី admin អាចបើកផ្ទាំងគ្រប់គ្រង admin និងទំព័រពាក់ព័ន្ធបាន។
- បញ្ជាក់ថាកំណត់ហេតុសវនកម្ម បង្ហាញសកម្មភាពផ្នែកគ្រប់គ្រងដែលមានភាពរសើប។
- បញ្ជាក់ថាប្លង់ mobile នៅតែអាចអានបាន លើទំព័រ admin users, calculations និង audit។