LINUX.ORG.RU

Простейшая авторизация

 ,


0

1

Допустим, я хочу сделать небольшое веб приложение, которым буду пользоваться только я, но которое будет торчать в глобальную сеть (чтобы я мог им воспользоваться из любого места). Так что какой то сложной системы прав доступа не требуется (один юзер с максимальными правами, гостям нельзя ничего).

Можно ли забить на авторизацию в самом приложении и просто включить авторизацию типа http basic auth в nginx, который будет выступать в роли реверс прокси для приложения? Разумеется, https настроен тоже будет.

Насколько такой вариант безопасен? Или это не Ъ и надо обязательно городить свою систему авторизации в самом приложении?

★★★★★

Последнее исправление: KivApple (всего исправлений: 2)

Если не требуется «ручного» входа в систему и имеется HTTPS, то можно просто настроить аутентификацию по сертификату.

sanwashere ★★
()
Ответ на: комментарий от sanwashere

Верно понимаю, что это будет тоже полностью настройкой nginx и прозрачно для приложения?

KivApple ★★★★★
() автор топика
Ответ на: комментарий от KivApple

Да. То есть нельзя обращаться с чужого компьютера, на котором после этого нельзя закрыть браузер.

sin_a ★★★★★
()

Можно ли забить на авторизацию в самом приложении и просто включить авторизацию типа http basic auth в nginx, который будет выступать в роли реверс прокси для приложения? Разумеется, https настроен тоже будет.
Насколько такой вариант безопасен? Или это не Ъ и надо обязательно городить свою систему авторизации в самом приложении?

Я бы для пущей безопасности разместил приложение не в корневой URL-ке, а придумал какую-нибудь «хитрую» URL-ку, сравнимую по сложности с парольной строчкой. Ну и желательно, чтобы такое приложение не использовало внешние ресурсы - чтобы URL-ка не светилась в чужих логах.

Кроме того, если подразумевается, что доступ будет осуществляться только со своего компа/ноута, то можно еще более усилить защиту. А именно - можно законфигурить в nginx для приложения незарегистрированный домен с каким-нибудь очень «хитрым» названием и прописать его в /etc/hosts. При доступе только по https до такого приложения реально никто не доберется - разве что, кто-нибудь крякнет и обшарит твой комп.

Я обычно так делаю для каких-то админовских приложений (вроде webmin-а). Для некоторых функций - типа просмотра веб-логов - можно вообще без пароля обходится )

vinvlad ★★
()

Можно и не городить, если нет особых поводов заморачиваться. А то я тут намедни утратил кодовую базу. И пожалел, что не заморочился. Но уже поздняк метаццо.

Deleted
()

Можно ли забить на авторизацию в самом приложении...

Но зачем так делать? :( Авторизация желательно всегда двойная. Например, логин/пароль и (ограниченная по частоте, конечно) отсылка короткодействующего кода/силки подтверждения через SMS/почту чтоб с помощью мобилки подтвердить. Если это твоё приложение, нет повода так не сделать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.