我可以限制网站访问特定计算机吗？

Question

我意识到mac地址或机器ID不会通过互联网传输，但是，我想锁定基于订阅的网站安全性，以便只有特定的计算机才能注册并可以访问其资源。

大型组织将订阅我们的服务，毫无疑问，他们的组织将拥有多个IP。同样，我们希望让合格的员工能够访问其物理组织之外的设备上的网站（用于公路旅行演示等）。

是否有可靠的方法来实现这一目标（超出分配给每个帐户的用户名/密码）？如果没有，最有效的方法是什么？

Answer 1

您希望使用实际上安全的内容，而不是通过IP限制访问。

HTTPS连接上的用户名和密码至少应该是不可操作的，但您可能希望查看客户端SSL证书。它们可以是configured in Apache或其他Web服务器软件。如果用户名/密码验证不够，则这是下一步（也许是最后一步）。

<强>更新

也就是说，许多应用程序提供商将为订户提供一种为其帐户实施ACL的方法。您甚至可以强制人们在允许他们访问您的服务之前考虑他们的ACL。想一想：

• 您的系统中设置了一个帐户，允许从任何地方登录。创建后，ACL为UNSET。
• 用户登录并立即进入ACL设置页面，在该页面中，他们必须提供与其帐户关联的IP地址或范围或子网。您可以使用现有的IP地址或子网聪明地预先填充内容，甚至可以查看ARIN以查看他们的IP是否位于分配给其帐户中公司名称的网络中。
• 设置ACL后（或者尽管有警告，他们确认他们想要保持ACL打开），他们可以访问您的服务。
• 如果他们尝试从其他地方登录，他们（和您）会通过电子邮件（或短信或其他）通知未遂事件。
• 如果他们无法访问其ACL列出的IP（即由于新的上游互联网提供商进行IP重新编号和错误的计划），他们可以致电您的电话支持人员，他们将通过其他方式对其进行验证。传真确认也许，因为那是安全的......

用户管理的ACL不是一种“确定无误”的方式，但它可能足以满足您的需求，并且它肯定会在您的客户中灌输您最关心的最佳利益。

Answer 2

没有确定的方法。这就是网络的本质。您接受来自远程计算机的数据，至少在某种程度上您必须信任它。

采用简单的用户名/密码方法。如果用户名和密码匹配，则必须信任用户输入的用户名和密码所在的位置。如果您需要客户端发送更多数据，这不会从根本上改变。