Benutzerverwaltung¶
Zielgruppe: Reseller und Provider-Administratoren
Das Admin-Panel unter auth.xynap.tech/admin ermoeglicht die Verwaltung von Benutzern und geschuetzten Routen. Zugang haben nur Benutzer mit der Rolle admin.
Admin-Panel aufrufen¶
- Melde dich unter auth.xynap.tech/login mit einem Admin-Account an
- Du wirst automatisch zum Admin-Panel weitergeleitet
- Alternativ: Direktzugriff ueber auth.xynap.tech/admin
Benutzerverwaltung¶
Benutzer-Status¶
| Status | Bedeutung | Aktion |
|---|---|---|
| Wartend | Account registriert, noch nicht freigeschaltet | → Freischalten |
| Aktiv | Account freigeschaltet, Login moeglich | → Sperren |
| Gesperrt | Account deaktiviert, kein Login moeglich | → Entsperren |
Aktionen¶
- Freischalten — Aktiviert einen wartenden Account. Der Benutzer kann sich ab sofort einloggen.
- Sperren — Deaktiviert einen aktiven Account. Bestehende Sessions werden sofort beendet.
- Entsperren — Reaktiviert einen gesperrten Account.
- Loeschen — Entfernt den Account dauerhaft (Admin-Accounts koennen nicht geloescht werden).
Reseller-Hinweis
Als Reseller bist du verantwortlich fuer die Freischaltung deiner Kundenaccounts. Reagiere zeitnah auf neue Registrierungen, um Wartezeiten zu minimieren.
Rollen¶
| Rolle | Berechtigungen |
|---|---|
| user | Zugriff auf freigeschaltete Dienste |
| admin | Zusaetzlich: Benutzerverwaltung, Routenverwaltung, Admin-Panel |
Erster Benutzer
Der allererste registrierte Benutzer erhaelt automatisch die Rolle admin und wird sofort aktiviert — ohne Freischaltung. Alle weiteren Benutzer starten als user im Status wartend.
Routenverwaltung¶
Routen definieren, welche Domains und Pfade durch das Zugangsportal geschuetzt sind.
Route hinzufuegen¶
Im Admin-Panel unter Geschuetzte Routen:
- Host — Die Domain (z.B.
ai.xynap.tech) - Pfad — Der URL-Pfad (z.B.
/fuer die gesamte Domain oder/apifuer einen Teilbereich) - Beschreibung — Kurzbeschreibung des Dienstes
- Erforderliche Rolle —
user(alle) oderadmin(nur Administratoren)
Route-Aktionen¶
| Aktion | Beschreibung |
|---|---|
| Aktivieren / Deaktivieren | Schaltet den Schutz fuer diese Route ein/aus |
| Auf Admin / Auf User | Aendert die erforderliche Rolle |
| Loeschen | Entfernt die Route dauerhaft |
Route deaktivieren vs. loeschen
Wenn du einen Dienst voruebergehend oeffentlich zugaenglich machen willst, deaktiviere die Route. Beim Loeschen geht die Konfiguration verloren.
Funktionsweise¶
Benutzer ruft ai.xynap.tech auf
↓
Traefik → auth-check Middleware → GET /verify
↓
Auth-Service prueft:
1. Gibt es eine aktive Route fuer "ai.xynap.tech" + "/"?
→ Nein: Zugriff erlaubt (kein Schutz)
→ Ja: Weiter zu Schritt 2
2. Hat der Benutzer einen gueltigen Session-Cookie?
→ Nein: Redirect zu auth.xynap.tech/login
→ Ja: Weiter zu Schritt 3
3. Hat der Benutzer die erforderliche Rolle?
→ Nein: 403 Forbidden
→ Ja: Zugriff erlaubt
Pfad-Matching¶
Routen werden nach Pfadlaenge absteigend geprueft (spezifischere Pfade zuerst):
| Route | Pfad | Match-Beispiele |
|---|---|---|
ai.xynap.tech |
/whisper |
/whisper, /whisper/v1/transcribe |
ai.xynap.tech |
/ |
/, /anything, /ollama (Catch-All) |
Beispiel: Admin-only API
Du kannst einen bestimmten Pfad fuer Admins reservieren, waehrend der Rest fuer alle Benutzer zugaenglich bleibt:
| Host | Pfad | Rolle |
|---|---|---|
ai.xynap.tech |
/ |
user |
ai.xynap.tech |
/admin-api |
admin |
Sicherheitshinweise¶
Rate-Limiting
Das Zugangsportal begrenzt Anmeldeversuche automatisch:
- Max. 10 Fehlversuche innerhalb von 5 Minuten pro IP-Adresse
- Danach wird die IP temporaer gesperrt
- Fehlversuche werden nach erfolgreicher Anmeldung zurueckgesetzt
Session-Sicherheit
- Cookies sind
httponly,secureundSameSite=Lax - Sessions laufen nach 24 Stunden automatisch ab
- Bei Kontosperrung werden alle aktiven Sessions sofort geloescht
- CSRF-Schutz per HMAC-Token auf allen Formularen