介绍

如果我们系统部署的外网上、一般后台登录地址/admin 或者/login 是我们最常用的登录入口,可能还会自动跳转登录入口,方便的同时也留下了隐患,如果你刚好使用了admin/123456这种账号密码的方式,会导致我们的后台完全暴露在外,容易被黑客暴力破解后台。因此我们建议修改后台的登录入口,达到隐藏后台登录入口的效果。(如果是内部局域网就没必要了,麻烦😂)

具体步骤

其实很简单只需要配置两个参数. 注意: V2.6.1 以上版本
image.png

  1. #Shiro 配置
  2. shiro:
  3.     ## V2.6.1 以上版本
  4.     #登录地址 默认 login
  5.     loginUrl: /login_6OLU0AarrZ5A==__
  6.     #是否隐藏登录页面、如果开启则不过不是配置的登录地址则直接404 默认false、自动跳转登录页面
  7.     isHideLoginUrl: true
  • loginUrl: 指定后台登录后缀地址(可以随意最好复杂些[如果有特殊符号请转码访问]) 例如: loginUrl: 6OLU0AarrZ5A==_#%@123 那么我浏览器访问需要转码6OLU0AarrZ5A%3D%3D_%23%25%40123
  • isHideLoginUrl: true 开启地址不正确直接404 (一定要设置此参数为true 不然会自动跳转到登录页面这样的话就设置无用了)

    后台登录

    这样我们就可以使用 http:ip:端口/login6OLU0AarrZ5A==_ 登录入口登录系统了。除了这个地址其他的地址都会跳转404页面.
    请保护好你后台的登录入口,千万别到处去粘贴,如果有泄漏后台入口,请再次尝试修改即可。
    效果如下: 隐藏后台登录地址.mp4 (17.17MB)

    安全建议

    通过上面的隐藏后台入口地址,我们已经加好了第一道门,以下是J2eeFAST给大家的安全建议,为我们后台添加更多的安全防护。
  1. 定期修改后台管理的登录入口和超级管理员密码,越复杂越好。
  2. 开启后台手机验证码登录。可以到系统参数管理开启。
  3. 修改后台超级管理员用户名,默认是admin,强烈建议修改。
  4. 系统参加用户初始化密码建议修改、默认是123456.
  5. 移除冗余的管理员,早期J2eeFAST测试数据中默认添加了几个管理员用于权限划分,建议删除。