单用户的简单网页认证
我写了一个小的内部网页应用,使用的是pylons的一部分。现在我发现需要让一个用户能够从网上访问这个应用。这个应用最开始并不是为了在网上使用而写的,所以它有很多安全漏洞。
我想知道,怎样才能最简单地确保这个网站对那个用户是安全的,但对其他人却不能访问呢?
我在考虑使用类似于Apache的简单HTTP认证,但希望能更安全一些。(OpenID合适吗?)
这里只有一个用户,不需要管理其他用户,也不需要更改密码。我也相信这个用户不会损坏服务器(其实服务器是他的)。
如果是我自己的话,我会把它放在防火墙后面,并使用SSH端口转发,但我想给这个用户提供一个更简单的方式。
编辑:嗯……根据回答来看,这个问题应该放在serverfault上。如果有版主看到这个,可以考虑迁移一下。
3 个回答
2
基本的HTTP认证很容易被像brutus这样的工具暴力破解。如果他的IP地址是固定的,你可以通过htaccess文件允许他的IP地址访问,同时拒绝其他所有的IP地址。
4
那VPN怎么样呢?应该有很多简单易用的VPN客户端。他可能已经对这项技术有些了解,因为很多公司都会用它来让员工在外出时也能访问内部网络。
8
如果只有一个用户的话,使用证书 可能是最简单的办法。