Cách tốt nhất để hạn chế quyền truy cập vào trang web phát triển là gì?


5

Tôi có một trang web tôi đang làm việc trên đó tôi muốn hiển thị chỉ cho một vài người khác cho bây giờ. Có điều gì sai khi thiết lập tên người dùng Windows và sử dụng cửa sổ auth để nhắc người dùng trước khi vào trang web phát triển?

7

Có rất nhiều cách khác nhau, với mức độ an ninh khác nhau:

  • Đừng đặt nó trên internet - đặt nó trên một mạng riêng, và sử dụng một VPN để truy cập vào nó
  • Hạn chế truy cập với Xác thực HTTP (như bạn đề xuất). Nhược điểm của điều này là nó có thể can thiệp vào trang web thực tế, nếu bạn đang sử dụng HTTP auth, hoặc một số loại xác thực khác như là một phần của ứng dụng.
  • Giới hạn quyền truy cập dựa trên IP từ xa. Chỉ cho phép các IP của người dùng bạn muốn có thể truy cập nó.
  • Sử dụng tên máy chủ tùy chỉnh. Có nó trên một IP công cộng, nhưng không xuất bản tên máy chủ. Điều này có nghĩa là tạo một mục trong tệp HOSTS của bạn (hoặc cấu hình máy chủ DNS của riêng bạn, nếu có thể) để "blah.mysite.com" truy cập vào trang web, nhưng điều đó không có sẵn trên internet. Rõ ràng bạn chỉ làm cho trang web có thể truy cập được khi sử dụng tên máy chủ đó (và không phải là IP).

1

Tôi thực hiện việc này thường xuyên. Tôi sử dụng Hamachi để cho phép họ truy cập vào hộp dev của tôi để họ có thể thấy những gì đang xảy ra. họ có quyền truy cập vào nó khi họ muốn, và/hoặc khi tôi cho phép. Khi chúng được thực hiện, tôi gỡ chúng khỏi mạng Hamachi của tôi và thay đổi mật khẩu.

Hamachi là một phần mềm VPN. Heres một liên kết đến Hamachi - AKA LogMeIn

Hamachi

Họ có một phiên bản miễn phí mà hoạt động khá tốt.


2

Điều đó tùy thuộc vào ý bạn là "tốt nhất": ví dụ: ý của bạn là "dễ nhất" hay "an toàn nhất"?

Cách tốt nhất có thể là có trên mạng riêng mà bạn đính kèm qua VPN.


1

Tất nhiên, không có gì sai với auth Windows. Tuy nhiên, có một vài nhược điểm (không quá lớn):

  • Sơ đồ xác thực trang web của bạn khác với sản phẩm cuối cùng.
  • bạn đang cấp cho họ nhiều quyền truy cập vào hộp mà họ thực sự cần.
  • bạn tự động reimaging máy và triển khai lại trang web phức tạp hơn, vì bạn phải tự động hóa việc tạo tài khoản cửa sổ.

tôi sẽ đề nghị hai lựa chọn:

  • để làm bất cứ điều gì auth bạn có kế hoạch làm trong trang web chính thức và chắc chắn rằng tất cả các máy nhắn tin yêu cầu auth
  • làm một auth Cookie thẻ dựa - gửi cho họ một liên kết đặt mã thông báo cụ thể trong cookie và trong mã trang web của bạn, hãy thêm kiểm tra nhanh cho mã thông báo đó trước khi bạn truy cập vào người dùng thông thường auth

1

Nếu bạn chưa kết hôn với IIS và bạn cần nhà phát triển có thể thay đổi nội dung, tôi sẽ xem xét Apache + SSL + WebDav (aka Web Folders). Điều này sẽ cho phép bạn cung cấp một hộp cát an toàn nơi các nhà phát triển có thể thay đổi và xem nội dung mà không cần có tài khoản người dùng trên máy chủ.

Thiết lập này yêu cầu một số kiến ​​thức về Apache để nó chỉ có ý nghĩa nếu bạn đã sử dụng Apache hoặc nếu bạn thường xuyên cần cung cấp quyền truy cập của người ngoài vào máy chủ web của bạn.

đầu tiên liên kết hữu ích tôi tìm thấy trên topic: http://pascal.thivent.name/2007/08/howto-setup-apache-224-webdav-under.html


-1

Tại sao bạn không chỉ cần thiết lập một người dùng NTFS và gán nó vào trang web (và loại bỏ truy cập nặc danh)