Quel est le meilleur moyen de restreindre l'accès à un site Web de développement?


5

J'ai un site sur lequel je travaille que je voudrais afficher seulement pour quelques autres pour le moment. Y at-il un problème avec la configuration des noms d'utilisateur Windows et l'utilisation de Windows auth pour inviter l'utilisateur avant d'entrer dans le site de développement?

7

Il y a plusieurs façons, avec des degrés divers de sécurité:

  • Ne pas le mettre sur Internet - le mettre sur un réseau privé, et utiliser un VPN pour accéder
  • Accès limité avec Authentification HTTP (comme vous le suggérez). L'inconvénient est qu'il peut interférer avec le site réel, si vous utilisez l'authentification HTTP, ou un autre type d'authentification dans le cadre de l'application.
  • Restreindre l'accès en fonction de l'adresse IP distante. Autorisez simplement les adresses IP des utilisateurs auxquels vous souhaitez accéder.
  • Utilisez un nom d'hôte personnalisé. L'avoir sur une IP publique, mais ne publiez pas le nom d'hôte. Cela signifie faire une entrée dans votre fichier HOSTS (ou configurer votre propre serveur DNS, si possible) de sorte que "blah.mysite.com" va sur le site, mais ce n'est pas disponible sur Internet. Évidemment, vous ne rendrez le site accessible qu'en utilisant ce nom d'hôte (et non l'adresse IP).

1

Je le fais fréquemment. J'utilise Hamachi pour leur permettre d'accéder à ma boîte de dev pour qu'ils puissent voir ce qui se passe. ils ont accès quand ils veulent, et/ou quand je le permets. Quand ils ont fini, je les expulser de mon réseau Hamachi et changer le mot de passe.

Hamachi est un VPN logiciel. Heres un lien vers Hamachi - Alias ​​LogMeIn

Hamachi

Ils ont une version gratuite qui fonctionne très bien.


2

Cela dépend de ce que vous entendez par "meilleur": par exemple, voulez-vous dire "plus facile" ou "plus sûr"? Le meilleur moyen pourrait être de l'avoir sur un réseau privé, auquel vous attachez via VPN.


1

Bien sûr, il n'y a rien de mal avec l'authentification Windows. Il ya quelques inconvénients (pas trop grands), cependant:

  • votre schéma d'autorisation de site Web est différent du produit final. Vous leur donnez plus d'accès à la boîte dont ils ont vraiment besoin.
  • La réimagerie automatique de la machine et le redéploiement du site Web sont plus complexes, car vous devez automatiser la création du compte Windows.

Je suggère deux alternatives:

  • à faire tout ce auth vous projetez de faire dans le site final et assurez-vous que tous les téléavertisseur exigent auth
  • faire un auth basé sur les cookies jeton - leur envoyer un lien qui définit un jeton particulier dans un cookie et dans votre code de site ajouter vérification rapide pour ce jeton avant d'aller jusqu'à la auth utilisateur ordinaire

1

Si vous n'êtes pas marié à IIS, et vous avez besoin développeurs d'être capable de changer le contenu, je considérerais Apache + SSL + WebDav (alias Web Folders). Cela vous permettra d'offrir un bac à sable sécurisé où les développeurs peuvent modifier et afficher le contenu sans avoir de compte utilisateur sur le serveur.

Cette configuration nécessite une certaine connaissance d'Apache, donc cela n'a de sens que si vous utilisez déjà Apache ou si vous avez souvent besoin de fournir un accès externe à votre serveur web.

Premier lien utile je l'ai trouvé sur le sujet: http://pascal.thivent.name/2007/08/howto-setup-apache-224-webdav-under.html


-1

Pourquoi ne pas vous venez de configurer un utilisateur NTFS et attribuez au site (et de supprimer l'accès anonyme)