我有一个正在开发的网站,我现在只想向其他几个人展示。在进入开发站点之前设置windows用户名和使用windows auth提示用户有什么问题吗?
zsharp
问问题
2148 次
6 回答
7
有几种方法,具有不同程度的安全性:
- 不要把它放在互联网上 - 把它放在专用网络上,并使用 VPN 访问它
- 使用 HTTP 身份验证限制访问(如您所建议的那样)。这样做的缺点是它可能会干扰实际站点,如果您使用 HTTP 身份验证或其他类型的身份验证作为应用程序的一部分。
- 根据远程 IP 限制访问。只需允许您希望能够访问它的用户的 IP。
- 使用自定义主机名。将其放在公共 IP 上,但不要发布主机名。这意味着在您的 HOSTS 文件中创建一个条目(或配置您自己的 DNS 服务器,如果可能的话),以便“blah.mysite.com”进入该站点,但这在 Internet 上不可用。显然,您只能在使用该主机名(而不是 IP)时使该站点可访问。
于 2009-02-21T23:16:49.440 回答
2
这取决于您所说的“最佳”是什么意思:例如,您的意思是“最简单”还是“最安全”?
最好的方法可能是将它放在您通过 VPN 连接的专用网络上。
于 2009-02-21T23:10:31.127 回答
1
我经常这样做。我使用 Hamachi 来允许他们访问我的开发箱,这样他们就可以看到发生了什么。他们可以在需要时和/或在我允许时访问它。当他们完成后,我将他们从我的 Hamachi 网络中逐出并更改密码。
Hamachi 是一个软件 VPN。这是到 Hamachi 的链接 - AKA LogMeIn
他们有一个运行良好的免费版本。
于 2009-02-21T23:09:33.517 回答
1
当然,Windows auth 没有任何问题。但是,有几个(不是太大)缺点:
- 您的网站身份验证方案与最终产品不同。
- 你让他们更多地访问他们真正需要的盒子。
- 您自动重新映像机器并重新部署网站更加复杂,因为您必须自动创建 Windows 帐户。
我建议两种选择:
- 在最终网站上执行您计划执行的任何身份验证,并确保所有寻呼机都需要身份验证
- do a token cookie based auth - send them a link that sets a particular token in a cookie and in your website code add quick check for that token before you even go to the regular user auth
于 2009-02-21T23:17:27.163 回答
1
If you aren't married to IIS, and you need developers to be able to change the content, I would consider Apache + SSL + WebDav (aka Web Folders). This will allow you to offer a secure sandbox where developers can change and view the content without having user accounts on the server.
This setup requires some knowledge of Apache so it only makes sense if you are already using Apache or if you frequently need to provide outsiders access to your web server.
First useful link I found on the topic: http://pascal.thivent.name/2007/08/howto-setup-apache-224-webdav-under.html
于 2009-02-21T23:52:58.933 回答
-1
Why don't you just set up an NTFS user and assign it to the website (and remove anonymous access)
于 2009-02-22T00:47:43.217 回答