希望有人能告诉我我是否走在正确的道路上。
我在网络内的文件服务器上使用 IIS。我有一个 apache2 服务器,它接收所有 HTTP 和 HTTPS 请求,并通过反向代理将它们发送到正确的服务器。
在网络内,您可以通过 HTTP 访问 IIS,它会根据 Windows 身份验证提示输入 UN/PW。显然,这在互联网上并不安全,尤其是从不受信任的网络访问时。
所以我的解决方案是:
远程网络通过 SSL 连接到我的反向代理服务器。反向代理通过 HTTP 连接到我的 IIS 服务器,远程客户端通过反向代理使用其 SSL 连接获取基本身份验证对话框,我认为这意味着它是安全的?
答案1
假设您的客户端始终通过 TLS 进行远程连接,那么是的,使用基本身份验证是相当安全的。
警告:基本身份验证的一个重大缺点是它要求密码以明文形式(或其他易于逆转的加密)存储在服务器上。因此,您可能需要考虑使用 SSL 客户端证书或至少使用 http 摘要身份验证来代替基本身份验证。