我意识到 Mac 地址或计算机 ID 不会通过互联网传输,但是,我想锁定我们基于订阅的网站安全性,以便只有特定的计算机可以注册并访问其资源。
大型组织会订阅我们的服务,并且无疑会为他们的组织拥有多个 IP。此外,我们还希望他们的合格员工能够在其实体组织之外的设备上访问该网站(用于公路旅行演示等)。
有没有一种可靠的方法来实现这一目标(除了分配给每个帐户的用户名/密码之外)?如果没有,最有效的方法是什么?
最佳答案
您希望使用真正安全的东西,而不是限制通过 IP 的访问。
HTTPS 连接上的用户名和密码至少应该是不可嗅探的,但您可能需要查看客户端 SSL 证书。它们可以是configured in Apache或其他网络服务器软件。如果用户名/密码身份验证还不够,这是下一步(也许是最后一步)。
更新:
也就是说,许多应用程序提供商会做的是为订阅者提供一种为其帐户实现 ACL 的方法。您甚至可以强制人们在允许他们访问您的服务之前考虑他们的 ACL。可以这样想:
- 您的系统中设置了一个帐户,允许从任何地方登录。创建后,ACL 被取消设置。
- 用户登录后会立即定向到 ACL 设置页面,其中必须提供与其帐户关联的 IP 地址或范围或子网。您可以聪明地使用他们现有的 IP 地址或子网预先填充内容,甚至可以在 ARIN 上查找内容,看看他们的 IP 是否位于分配给其帐户上的公司名称的网络中。
- 一旦设置了 ACL(或者他们不顾您的警告,确认希望保持 ACL 开放),他们就可以访问您的服务。
- 如果他们尝试从其他地方登录,他们(和您)会通过电子邮件(或短信或其他方式)收到有关企图违规的通知。
- 如果他们无法再访问 ACL 列出的 IP(即由于新的上游互联网提供商和糟糕的规划而导致 IP 重新编号),他们可以调用您的电话支持人员,他们将通过其他方式对其进行验证。也许是传真确认,因为那太安全了......
用户管理的 ACL 并不是一种“万无一失”的方法,但它可能足够有效地满足您的需求,并且肯定会向您的客户灌输这样的感觉:您将他们的最大利益放在心上。
关于security - 我可以限制特定计算机访问网站吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13276225/