Hello,

.htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist.

Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

Auf jeden Fall sollten eigene Zugriffsschutzverfahren von Anwendungen bei Fehlversuchen auch immer eine Errormeldung im Serverlog hinterlassen, damit z.B. fail2ban und ähnliche Werkzeuge auch weiter greifen können. Anderenfalls spricht man (ich zumindest) von "spreaded control". Das ist für die Administration durchaus lästig, wenn man immer mehrere Errorlogs (sofern überhaupt vorhanden) im Auge behalten muss.

Ein "Loginsystem" besteht also mindestens aus

• Benutzerverwaltung (mMn mit Klarnamen- und Anschriftserfassung)
• Geschäftsregeln für den Zugriffsschutz
• Authentifizierungssystem
• Zugriffskontrolle (Authorisiering)
• Ggf. Formular- und Workflowverwaltung
• Historie
• Errorlogging (fehlgeschlagene Angriffs- und Zugriffsversuche)
• umfangreicher Datenschutzbelehrung lt. DSGVO zu Obigem

Glück Auf
Tom vom Berg