0

我有一个基于 Web 的应用程序,用于查找有关设施中各种资产的信息。这仅提供搜索功能,不允许应用程序进行 CRUD 操作(READ 除外)。此网络应用程序始终在触摸屏设备(即工作站)中保持打开状态,任何设施工作人员都可以使用它。用户不想为每个搜索操作启动登录和注销。

我们计划将 Web 应用程序部署到云上。尽管不需要对访问 Web 应用程序的用户进行身份验证,但仍然需要确保其他人无法访问有关设施中资产的信息。如何构建此身份验证层?我能想到的各种选项是: 1. 在 URL 中包含用户 ID/密码作为参数。我可以为每个设施创建一个用户名/密码。简单,但用户名/密码区域始终可见。2. 基于证书的方法。为这些工作站中的每一个创建证书并部署在这些工作站上。相当安全,但在管理证书生命周期方面存在挑战。以及使用来自不同设施的证书配置网络服务器的挑战???

有什么建议么?

谢谢,普拉萨纳

4

1 回答 1

0

一个简单但不安全的事情。进行 IP 检查,如果 IP 来自您的设施,则授予访问权限。第二种但安全的方法是在应用程序启动时仅使用密码进行验证并存储会话,以便您知道您所在机构的人员正在访问该站点。

于 2012-09-03T06:11:51.787 回答