如何在Heroku中保护私人管理表单

Question

我如何在Heroku中保护私人使用管理表单？这些是管理网站的表单 - 编辑主（或静态）数据，设置等。通常我永远不会将这些数据暴露给互联网，只会在应用程序上应用基本帐户安全性来管理内部权限。

即。那种我想知道的事情？

1. 使用authlogic时，https是否必须保护网站？
2. 是否可以（如何）将您的网络服务器配置为仅在某些路由上使用SSL？
3. Authlogic + SSL是否足够安全以保护页面，如果受到破坏可能会破坏您的整个业务？
4. 有没有办法利用heroku的管理员帐户安全性将网站的一部分锁定到它的所有者？
5. 我想使用PG控制台管理网站会给我提供我需要的安全性，但不能提供可用性。

Answer 1

我没有Rails或Heroku的知识世界，但我对此的看法是，如果您的网站已经需要身份验证，请继续添加授权< / em>为您的管理用户提供只允许他们访问您的管理页面的内容。查看CanCan以获取授权。

如果只有您的管理页面需要管理，那么您可以通过使用AuthLogic来确保已识别的用户正在访问这些管理页面。

1. 我倾向于将SSL视为传输问题，这使得AuthLogic不太可能要求。话虽这么说，任何时候你传递敏感数据，密码，然后我会认为SSL是一个要求。如果应用程序正在保护您的祖母cookie配方，那么除了体验之外，您可能会放弃SSL实施。
2. 我可能错了，但SSL适用于整个网站/域。如果您的管理页面托管在单独的站点/域上，则可能有效。
3. AuthLogic + SSL应该足够安全 - 管理员用户的密码被黑客入侵（便笺，电子邮件等）会危及您所拥有的任何安全性。如果被“销毁”，则表示敏感的客户数据泄露，那么责任保险可能会减轻这一点。如果您的意思是您的网站将关闭，那么请进行灾难恢复过程以使您的网站恢复/联机（ASAP）并可能使现有管理凭据无效？
4. 飞快（完全在我头上）
5. 飞快（完全在我头上）

HTH，

ž

Answer 2

我会调查一个连接到heroku postgres安装的本地rails管理应用程序。有关直接连接的信息：http://devcenter.heroku.com/articles/heroku-postgresql

这样，您就可以将/ admin保留在互联网之外，并且与“heroku console”漏洞的安全性大致相同。

您可以保护对本地管理服务的网络访问权限，以及应用层的authlogic。

postgresql连接相对较新，所以YMMV