安全不是我的专业领域。我正在开发一个轻型的管理shouldComponentUpdate网络应用程序,供公司(小型)员工内部使用:
我想尽可能地保护它-除了身份验证,访问控制或2FA。我正在尝试想办法使它对公众几乎不可见,但仍可供员工使用。为爬虫定义适当的规则可能会使它更加晦涩难懂,但我认为可以做更多的事情。基于网络的限制将限制员工的灵活性。
基于此,我想到了只有在授权设备发出请求的情况下才能使该应用程序可用的想法。但是,我不确定这是否是一个好方法。我也不知道如何解决在通信过程中授权各种设备并使信息可供服务器使用的问题。
即如何将设备标记为已授权,这样我只需要做一次就可以可靠地验证Web应用程序中的信息?常规身份验证以及基于角色的访问仍然可以进行,但是如果访问设备未列入白名单,则该应用可能会返回404响应。
是否有一种方法可以实现这样的目标,同时又不会对用户造成太大的限制或难以进行设置?还是有更好的方法来达到相同的结果?
答案 0 :(得分:1)
考虑使用VPN吗?
如果您将设备托管在内部网络上,则可以查看IT部门。可以将VPN访问设置为远程工作(在大多数情况下,这已经存在),然后不需要通过URI通过Internet访问它。相反,通过VPN进入网络后,您只需导航至内部地址-无需公共访问,也无需担心讨厌的Web爬虫!
这也使审核应用程序变得更加容易。例如,如果某位员工离开公司,则只需撤销其VPN访问权限,他们将无法再访问该应用程序。