限制访问开发网站的最佳方式是什么?

我有一个网站,我正在努力,现在我只想显示给其他人。 在进入开发网站之前,设置Windows用户名和使用Windowsvalidation提示用户有什么问题吗?

有几种方法,具有不同程度的安全性:

  • 不要把它放在互联网上 – 把它放在一个专用的网络上,并使用VPN来访问它
  • 使用HTTP身份验证限制访问(如您所建议的)。 这样做的缺点是,如果您正在使用HTTP身份验证,或者其他类型的身份验证作为应用程序的一部分,则会干扰实际站点。
  • 限制基于远程IP的访问。 只要允许您希望能够访问的用户的IP。
  • 使用自定义主机名。 把它放在一个公共的IP上,但不要发布主机名。 这意味着在你的HOSTS文件中输入(或者如果可能的话,配置你自己的DNS服务器),以便“blah.mysite.com”进入该网站,但是在互联网上不可用。 显然,只有在使用该主机名(而不是IP)时才能访问该站点。

这取决于你的意思是“最好的”,例如,你的意思是“最简单”还是“最安全”?

最好的方法可能是将其放在通过VPN附加到的专用网络上。

我经常这样做。 我使用Hamachi允许他们访问我的开发箱,以便他们可以看到发生了什么事情。 他们可以在他们想要的时候和/或在我允许的时候访问。 当他们完成我从我的Hamachi网络驱逐他们,并更改密码。

Hamachi是一个软件VPN。 下载链接到Hamachi – AKA LogMeIn

滨地

他们有一个免费的版本,工作得很好。

当然,Windows认证没有任何问题。 但是有一些(不是太大)的缺点:

  • 您的网站认证方案与最终产品不同。
  • 你给他们更多的机会,他们真的需要。
  • 您自动重新映像机器并重新部署网站更复杂,因为您必须自动创建Windows帐户。

我会建议两个选择:

  • 在最终的网站上做任何你计划做的认证,并确保所有的寻呼机都需要认证
  • 做一个基于令牌cookie的身份验证 – 发送给他们一个链接,在cookie中设置一个特定的标记,并在您的网站代码添加快速检查该标记之前,你甚至去的普通用户身份验证

如果你没有和IIS结婚,并且你需要开发者能够改变内容,我会考虑Apache + SSL + WebDav(又名Web文件夹)。 这将允许您提供一个安全的沙箱,开发人员可以更改和查看内容,而无需在服务器上拥有用户帐户。

这个设置需要Apache的一些知识,所以如果你已经在使用Apache或者你经常需要向外人提供对你的Web服务器的访问,

我在主题上找到了第一个有用的链接: http : //pascal.thivent.name/2007/08/howto-setup-apache-224-webdav-under.html

为什么不建立一个NTFS用户并将其分配给网站(并删除匿名访问)