如何使用 Nginx 来保护不安全的 Meteor?

tag-icon tag-icon nginx security reverse-proxy websocket meteor
如何使用 Nginx 来保护不安全的 Meteor?

我在 AWS 上运行了一个不安全的 Meteor。对于那些不熟悉 Meteor 的人来说,这意味着我正在使用“不安全”的软件包,它以安全性换取快速原型设计。

我只需要我们的开发团队和利益相关者访问服务器。过去,我通过在防火墙中将每个人的 IP 地址列入白名单来解决问题。现在团队很大,收集每个人的 IP 地址可能很难做到。

所以我想使用 Nginx 来密码保护 Meteor。

我知道如何用密码保护 html;但 Meteor 使用 Websockets,这是我完全不熟悉的东西。我如何用密码保护 websockets?

答案1

这其中有很多内容需要涉及。

您当然可以使用 auth_basic,但这并不比使用令牌更安全。

为了保护你的服务器和 nginx 代理,请尝试本指南由 Digital Ocean 提供。

为了保护你的应用,请尝试本指南开始。

确保方法和发布物的安全。了解谁可以调用您的方法,以及向客户端发布哪些数据。完成这些后,您的设置就完成了。此时,请另一位 Meteor 开发人员审查您的工作是一个不错的选择。

安全性并不神秘,只要遵循最佳实践就没问题。很多开发人员都没有这样做,所以你不必成为最容易被忽视的人。

答案2

HTTP 基本身份验证适用于 websockets 连接以及“常规”HTTP 连接,因此启用该功能auth_basic应该可以解决问题,因为“技巧”的阈值足够低。

相关内容