Аутентификация для приложения на основе браузера зависит от клиентского компьютера

Question

Как сделать аутентификацию для приложения на основе браузера зависимой от клиентского компьютера? Допустим, администратор может войти только с этой машины.

Допущения: имеется полный контроль над сетью и всеми задействованными компьютерами (клиентом и сервером).

Я ищу решение Apache / Linux.

Answer 1

Вам нужно придумать способ идентификации этой машины. Что важно в вашем приложении? Физическое местонахождение? IP-адрес?

Если у вас есть полный контроль над машинами, я бы использовал SSL с клиентскими сертификатами и помещал клиентский сертификат только на тот компьютер, который должен использоваться. См. здесь для получения подробной информации о том, как настроить это с Apache

Как говорится в этой статье, вы можете настроить Apache для запроса сертификата, имени пользователя и пароля И ограничить возможность подключения для указания IP-адресов.

РЕДАКТИРОВАТЬ: вам не нужен отдельный веб-сервер для использования клиентских сертификатов.

Вам может потребоваться отдельный URL-адрес в зависимости от того, как работает ваше приложение.

Обратите внимание, что в примере настраиваются сертификаты только для определенного каталога

 <Directory "/www/hidden/docs">

. Поэтому некоторые классы пользователей могут входить по-разному или перенаправлять их после входа в защищенную сертификатом клиента часть вашего сайта

Answer 2

Если вы беспокоитесь о злонамеренных попытках подделки клиентской рабочей станции в сети, вы можете изучить настройку IPSEC на клиенте и сервере, тогда вы можете просто использовать IP-адрес и рассматривать его как доверенный - то есть использовать стандартный Apache методы контроля доступа по IP.

Или, если вы считаете свою сеть надежной, просто дайте клиенту статический IP-адрес и используйте стандартные методы apache для ограничения доступа по IP-адресу.

Оба требуют некоторой работы администратора на сетевом уровне, но бонус в том, что вам не нужно менять приложение.