限制访问开发网站的最佳方法是什么？

Question

我有一个我正在努力的网站，我现在只想显示给其他几个网站。设置Windows用户名并使用Windows auth在进入开发站点之前提示用户有什么问题吗？

Answer 1

有几种方法，具有不同程度的安全性：

• 请勿将其置于互联网上 - 将其置于专用网络上，并使用VPN访问它
• 使用HTTP身份验证限制访问（如您所建议的那样）。这样做的缺点是，如果您使用HTTP身份验证或其他类型的身份验证作为应用程序的一部分，它可能会干扰实际站点。
• 根据远程IP限制访问。只需允许您希望能够访问它的用户的IP。
• 使用自定义主机名。拥有公共IP，但不发布主机名。这意味着在您的HOSTS文件中输入一个条目（或者如果可能的话，配置您自己的DNS服务器），以便“blah.mysite.com”进入该网站，但这在互联网上不可用。显然，只有在使用该主机名（而不是IP）时才能访问该站点。

Answer 2

这取决于你对“最佳”的意思：例如，你的意思是“最简单”还是“最安全”？

最好的方法是将它放在专用网络上，通过VPN连接到该网络。

Answer 3

我经常这样做。我使用Hamachi来允许他们访问我的开发盒，这样他们就能看到最新情况。他们可以在他们想要的时候和/或我允许时访问它。当它们完成后，我从Hamachi网络中逐出它们并更改密码。

Hamachi是一个软件VPN。这是一个链接到Hamachi - AKA LogMeIn

Hamachi

他们有免费版本，效果很好。

Answer 4

当然，Windows身份验证没有任何问题。但是有几个（不是太大）的缺点：

• 您的网站身份验证方案与最终产品不同。
• 您可以让他们更多地访问他们真正需要的盒子。
• 您自动重新映像机器并重新部署网站更复杂，因为您必须自动创建Windows帐户。

我建议两种选择：

• 执行您计划在最终网站上执行的任何身份验证，并确保所有寻呼机都需要身份验证
• 执行基于身份验证的令牌Cookie - 向他们发送一个链接，该链接在Cookie中设置特定令牌，并在您的网站代码中添加对该令牌的快速检查，然后再转到常规用户身份验证

Answer 5

如果您没有与IIS结婚，并且您需要开发人员能够更改内容，我会考虑Apache + SSL + WebDav（也称为Web文件夹）。这将允许您提供一个安全的沙箱，开发人员可以在服务器上无需用户帐户即可更改和查看内容。

此设置需要一些Apache知识，因此只有在您已经在使用Apache或者经常需要向外人提供对Web服务器的访问时才有意义。

我在主题上找到的第一个有用的链接：http://pascal.thivent.name/2007/08/howto-setup-apache-224-webdav-under.html

Answer 6

为什么不设置NTFS用户并将其分配给网站（并删除匿名访问）