标签: security nginx flask server
我们目前有一个主服务器,基本上只是一个REST API。
我们还有一个管理员服务器(可由管理员/经理访问),有时候想要在主服务器上调用函数,例如/ deleteUser等。
目前,主服务器对这些敏感呼叫的唯一保护是IP限制。那够安全吗?我认为没有人可以在没有物理/远程访问的情况下欺骗经理服务器的IP,对吧?如果他们有访问权限,那么拥有用户名/密码也没有意义,因为他们可以从机器上获取它。
那么使用IP作为唯一限制通常是安全的吗?
我们正在使用烧瓶和NGINX btw。