我试图找出一种限制访问基于Web的应用程序的安全方法。它仅供少数用户用于内部公司使用,我需要一种安全的方式来为少数人提供登录表单的访问权限。我尝试通过创建文件'user.txt'来实现这一点,并希望将其保存到那些未来用户的每台个人计算机中,因此登录页首先检查file_exists是否显示登录表单,否则重定向访问者..不幸的是我无法管理Windows 7计算机权限或文件路径,但脚本总是说文件不存在..所以现在,我需要找到另一种方法来锁定登录页面..任何想法比IP地址更安全?我怎么能识别那些5-6用户的电脑? 谢谢!
答案 0 :(得分:4)
没有可靠的方法来识别特定的计算机。
首先登录表单的目的通常是限制对选择人员的访问,这通常就足够了。
如果您想更进一步,可以使用(用于身份验证)必须在客户端计算机上安装的SSL客户端证书。
答案 1 :(得分:1)
file_exists
仅适用于服务器,无法访问用户计算机上的文件...想象一下可能导致的安全风险。
相反,如果是内部公司使用,那么显而易见的第一步是限制对属于公司的IP地址的人员的访问。您可以使用$_SERVER['REMOTE_ADDR']
获取该信息。
接下来,有多少人访问 login 表单并不重要,因为他们需要一个帐户才能登录。如果您自己创建帐户并要求用户更改密码在他们第一次登录时,没有什么可担心的。
答案 2 :(得分:0)
您还可以使用http auth来避免编写用于处理登录表单的额外代码。创建具有某个密码的用户并将其分发给您的内部网络用户。
答案 3 :(得分:-1)
你能用htaccess和htpasswd吗?这是一种安全的简便方法。