限制访问网站的“管理”面板?

时间:2011-05-17 14:38:17

标签: security web authentication

如何限制访问我网站的管理员/部分?我无法通过IP地址限制它,因为我们有时需要从远程客户端位置访问admin /部分(在进行演示时等)。

当然有管理员用户名/密码 - 但我还能做什么?

2 个答案:

答案 0 :(得分:2)

大多数应用程序只使用用户名/密码进行访问控制,这通常就足够了。一些需要额外安全性的人使用双因素身份验证,这可能意味着使用随身携带的令牌(例如,生成与服务器保持同步的令牌的设备)或发送给您的令牌(例如系统)使用您必须输入的令牌以及密码向手机发送短信。

更简单的选择是使用客户端证书进行身份验证;您可以在拇指驱动器上随身携带证书,以防您在远程位置(只需记住在完成后从远程机器上删除证书)。

这是nice write-up on client certificate authentication

另一种选择是仅允许来自本地网络的连接,然后使用VPN将远程计算机加入本地网络。

答案 1 :(得分:0)

如果管理界面位于单独的文件夹中,则可以使用.htaccess和httpd auth。使用例如,可以使用例如rails以限制对某些路径(控制器)的访问。