Каков наилучший способ ограничить доступ к веб-сайту разработки?


5

У меня есть сайт, над которым я работаю, и сейчас хочу показать только некоторые другие. Что-то не так с настройкой имен пользователей Windows и использованием windows auth, чтобы вызвать пользователя перед тем, как попасть на сайт разработки?

7

Есть несколько способов, с разной степенью безопасности:

  • Не ставьте его в Интернете - поместить его в частной сети, а также использовать VPN для доступа к нему
  • Ограничение доступа с HTTP-аутентификация (как вы предлагаете). Недостатком этого является то, что он может помешать фактическому сайту, если вы используете HTTP-аутентификацию или какой-либо другой тип аутентификации в составе приложения.
  • Ограничить доступ на основе удаленного IP. Просто разрешите IP-адреса пользователей, с которыми вы хотите получить доступ.
  • Используйте собственное имя хоста. Имейте это на публичном IP, но не публикуйте имя хоста. Это значит сделать запись в вашем файле HOSTS (или, если возможно, настроить собственный DNS-сервер), чтобы «blah.mysite.com» отправился на сайт, но недоступен в Интернете. Очевидно, что вы только сделали бы сайт доступным при использовании этого имени хоста (а не IP).

1

Я делаю это часто. Я использую Hamachi, чтобы позволить им получить доступ к моей dev-боксу, чтобы они могли видеть, что происходит. они имеют доступ к нему, когда захотят, и/или когда я разрешаю. Когда они закончатся, я вывожу их из сети Hamachi и меняю пароль.

Hamachi - это программное обеспечение VPN. Heres ссылку на Hamachi - AKA LogMeIn

Hamachi

Они имеют бесплатную версию, которая работает достаточно хорошо.


2

Это зависит от того, что вы подразумеваете под «лучшим»: например, вы имеете в виду «самый простой» или «самый безопасный»?

Лучшим способом может быть его наличие в частной сети, к которой вы подключаетесь через VPN.


1

Конечно, нет ничего плохого в Windows auth. Тем не менее, есть несколько (не слишком больших) недостатков:

  • Ваш адрес электронной схемы вашего сайта отличается от конечного продукта.
  • вы даете им больше доступа к коробке, в которой они действительно нуждаются.
  • вы автоматически переделываете машину, и перераспределение веб-сайта является более сложным, так как вам необходимо автоматизировать создание учетной записи Windows.

Я хотел бы предложить два варианта:

  • делать все, что Auth вы планируете делать в конечном сайте и убедитесь, что все пейджера требуют аутентификации
  • сделать авторизацию на основе маркера печенья - отправить их ссылка, которая устанавливает конкретный токен в файле cookie и в коде вашего сайта добавляет быструю проверку для этого токена, прежде чем вы перейдете к обычному пользователю.

1

Если вы не состоите в браке с IIS, вам нужны разработчики способен измените контент, я бы рассмотрел Apache + SSL + WebDav (он же веб-папки). Это позволит вам создать безопасную песочницу, в которой разработчики могут изменять и просматривать контент без учета учетных записей пользователей на сервере.

Эта настройка требует некоторых знаний об Apache, поэтому имеет смысл только в том случае, если вы уже используете Apache или вам часто нужно предоставлять сторонним пользователям доступ к вашему веб-серверу.

Первая полезная ссылка я нашел на тему: http://pascal.thivent.name/2007/08/howto-setup-apache-224-webdav-under.html


-1

Почему вы не просто создать пользователя NTFS и назначить его на веб-сайте (и удалить анонимный доступ)