ruby-on-rails - 在机器级别授权用户？

Question

可以在机器级别授权用户。例如，只有在使用授权计算机（我的个人笔记本电脑或其他经理的电脑）时，才能访问管理页面？任何其他计算机都应该收到拒绝访问消息或其他信息。授权计算机可能仍会提供自己的管理员用户名和密码，以防人们伪造机器的身份，也许。虽然我不是安全专家。

Answer 1

如果我误解了，请纠正我，但您要求只允许特定机器上的访问者访问您的网站？

在这里直接跳入解决方案。第一个问题是你怎么知道哪些机器是“经理的”机器？你有他们的IP地址列表吗？你有其他身份证吗？

如果您有他们的 IP 地址，则将他们列入 IP 白名单，并阻止所有其他 IP 地址。

如果您没有他们的 IP 地址，那么您将受到限制。没有可以通过网络浏览器访问的机器 ID，因此您需要通过设置长寿命 cookie 和注册过程来创建自己的 ID。

由于您已经有一个登录过程，因此下一部分相当简单。您以前使用过此解决方案。当你登录google mail，点击“记住我”，下次电脑重启时不需要登录，google基本上已经将你的机器标记（设置cookie）为你的机器了。

现在，如果你想变得超级花哨，企业有 NAC 设置。每个系统在被允许连接到网络之前都会被识别。某些系统被授予比其他系统更多的访问权限。例如，在一家软件开发公司，工程师可以访问生产网络，而销售人员则不能。当他们连接时，销售人员在识别出他们是谁以及机器属于谁之后，会被转移到一个受限的 vlan。如果您的公司是这种情况，那么您会将整个子网块列入白名单。

最后一点。大通银行使用机器 cookie 概念，如下所示：您第一次登录时，他们会询问您的用户名和密码。然后将代码发送到您的手机或某些第三方渠道。输入代码后，设置一个机器cookie（相同的旧cookie）。下次登录时，他们会询问用户名和密码，然后查找机器 cookie。如果机器cookie在那里，那么它们不会让您再次输入代码。

您可以将其作为您的注册过程，除非您向经理提供他们可以输入的代码。我不认为您想要获得比静态密码更复杂的注册机器，但如果您这样做了，您可以按照rfc 4226中的规范生成一次性令牌。

Answer 2

您不能限制对特定计算设备的访问（因为使用的设备类型很多，并且没有通用的东西可以绑定），但根据您的应用程序设计，您仍然可以解决您的问题。您需要绑定的不是计算机，而是其他无法复制的硬件设备。

其中一种设备是带有证书和私钥的硬件加密令牌或加密卡。用户将设备分别插入 USB 或读卡器，然后使用存储在此设备上的证书和私钥在服务器上进行身份验证）。使用证书的客户端身份验证是一个很大但众所周知的话题，所以我不在这里讨论它。

虽然可以将加密设备移动到另一个计算机系统，但无法复制它或从中提取私钥。因此，您可以（具有一定的高可靠性）假设只存在一个私钥副本，并且它存储在某些特定设备上。

当然，您需要为每个设备创建另一个证书，但这不是问题 - 这些证书的唯一目的是被服务器接受，因此服务器可以在需要时颁发新证书。