我正在尝试找出一种安全的方法来限制对基于 Web 的应用程序的访问。它只会被少数用户用于公司内部使用,我需要一种安全的方式来仅为这少数人提供对登录表单的访问。我尝试通过创建文件“user.txt”来做到这一点,并希望将其保存到这些未来用户的每台个人计算机上,因此登录页面首先检查 file_exists 是否存在然后显示登录表单,否则它会重定向访问者。不幸的是我无法使用 Windows 7 计算机权限或文件路径进行管理,但脚本总是说文件不存在。所以现在,我需要找到另一种方法来锁定登录页面。任何想法比 IP 地址更安全? 我如何识别那些 5-6 用户的计算机?谢谢 !
问问题
175 次
4 回答
4
没有可靠的方法来识别特定的计算机。
首先拥有登录表单的目的通常是限制特定人员的访问权限,这通常就足够了。
如果您想更进一步,您可以使用(用于身份验证)必须安装在客户端计算机上的 SSL 客户端证书。
于 2013-01-13T18:18:34.213 回答
1
file_exists只能在服务器上工作,它不能访问用户机器上的文件......想象一下会导致的安全风险。
相反,如果它是供公司内部使用的,那么显而易见的第一步是限制对属于公司 IP 地址的人员的访问。您可以使用$_SERVER['REMOTE_ADDR']来获取该信息。
接下来,有多少人访问登录表单并不重要,因为他们需要一个帐户才能登录。如果您自己创建帐户并要求用户在第一次登录时更改密码,那么没什么好担心的。
于 2013-01-13T18:19:29.047 回答
0
您还可以使用http auth来避免编写额外的代码来处理登录表单。创建一个具有一些密码的用户并将其分发给您的内部网络用户。
于 2013-01-13T18:21:50.807 回答
-1
你可以使用 htaccess 和 htpasswd 吗?这是一种安全的简单方法。
于 2013-01-13T18:19:35.353 回答