单个用户的死简单Web身份验证

时间:2009-05-13 14:04:35

标签: python security authentication web-applications

我使用pylons的一部分编写了一个小型内部网络应用。事实证明,我现在需要允许用户从网络访问它。这不是一个面向Web的应用程序,它有一堆巨大的安全漏洞。

我能确保该网站安全可供该用户使用的最简单方法是什么,但没有其他人可以使用?

我正在考虑类似apache的简单HTTP身份验证,但更安全。 (OpenID是一个很好的匹配吗?)

只有一个用户。无需任何用户管理,甚至无需更改密码。此外,我相信用户不会损坏服务器(实际上是他的)。

如果是我的话,我会把它放在防火墙后面并使用ssh端口转发,但我想为这个用户提供更简单的东西。

编辑:嗯...根据答案判断,这应该是在服务器故障上。如果主持人正在阅读此内容,请考虑迁移它。

3 个答案:

答案 0 :(得分:8)

如果只有一个用户,using a certificate可能最简单。

答案 1 :(得分:4)

VPN怎么样?应该有很多用户友好的VPN客户端。他可能已经熟悉这项技术,因为许多公司使用它们来授予工人在旅途中访问内部网络的权利。

答案 2 :(得分:2)

brutus等工具可以轻松实现基本的HTTP身份验证。如果他的ip是静态的,你可以允许他的ip并用htaccess拒绝所有其他人。