# 安全登入設定 ## 原型目前做到的保護 - 登入閘門:未登入時不顯示主系統介面。 - 密碼雜湊比對:前端只放 SHA-256 雜湊,不放明文密碼。 - 登入失敗鎖定:連續 5 次錯誤後鎖定 5 分鐘。 - Session 逾時:預設 30 分鐘有效。 - 閒置逾時:15 分鐘沒有操作會登出。 - 手動登出:右上角可登出。 ## 示範帳號 ```text 帳號:admin@demo.local 密碼:Admin2026 ``` ## 重要限制 這一層只適合保護 demo。因為目前仍是純靜態前端,使用者可以下載 JS 或繞過前端驗證。只要要放真實房東、房客、租金、銀行帳戶資料,就必須改成正式後端登入。 ## 正式上線應補 - HTTPS。 - 後端帳密驗證,不把密碼雜湊放在前端。 - Argon2 或 bcrypt 密碼雜湊。 - HttpOnly + Secure + SameSite Cookie。 - CSRF 防護。 - 角色權限:管理員、會計、物管、主管、房東、房客。 - 稽核紀錄:登入、登出、匯入、月結、下載、異常豁免。 - 2FA 或 OTP。 - IP allowlist 或 VPN。