我正在寻找有关保护网站的一些信息。该网站实际上是一种可以通过Web浏览器访问的管理控制台。控制台目前仅在内部网络上可用,但我想通过互联网访问它,仅适用于某些特定用户/设备。
我遇到的第一个问题是管理控制台根本没有提供身份验证。为了解决这个问题,我已经安装了apache,我用它作为(反向?)代理,我在其中启用了基本身份验证,所以现在我必须输入用户名和密码才能访问控制台。
我接下来要做的是阻止用户名和密码作为纯文本在线上发送(我假设现在发生了什么)。我想我必须把它变成一个https连接,但我发现了很多关于它的信息,所以我对如何继续有点迷失。我可以使用自签名证书进行此工作,还是需要在某处购买证书?
答案 0 :(得分:1)
您通过https保护密码是正确的。我建议您在this article之后通过https重定向服务器上的所有内容。
我建议在不购买任何东西的情况下测试整个解决方案。购买证书意味着它将绑定到您的服务器。我想在开发解决方案时,您使用的是开发服务器。如果您为开发服务器购买证书,则必须为生产服务器购买另一个证书。因此,我会使用自签名证书进行开发,当应用程序准备上市时,我会购买所有浏览器都认可的证书。
为了创建自签名证书,您可以按照this tutorial假设您使用Linux,或this tutorial假设您使用Windows。
希望我帮忙!