限制互联网访问测试版网站,这与网站自身的身份验证相冲突

限制互联网访问测试版网站,这与网站自身的身份验证相冲突

我有一个在 Apache Tomcat 上运行的 Java 网站。

由于该网站处于测试阶段,我不希望互联网上的任何人公开访问它我想要限制一组 beta 测试人员访问该网站从而限制对网站所有页面的访问

问题是该网站已经使用 Spring Security为了让最终将作为应用程序业务逻辑的一部分进行成员身份验证(例如,他们注册之后)。

总结一下:我只希望 beta 测试人员能够访问该网站。之后他们将能够浏览“公共”页面并注册为网站会员,然后浏览“私人”页面。

因此我双重认证。我不确定如何使用我的 Ubuntu 盒子来做到这一点。

有人可以提供建议吗?

答案1

第一个想法:如果 beta 测试人员来自已知的 IP 地址,则只需基于 IP 进行过滤。这可以在防火墙、Web 服务器或应用程序上完成。如果用户的 IP 会发生变化,也许可以添加第二个网页,他们可以在其中输入用户名和密码,然后他们的 IP 就会在 beta 应用程序中(或在防火墙/Web 服务器上)列入白名单。

下一个想法是将测试网站隐藏在防火墙后面,并为测试人员提供可访问的 VPN。设置起来相当容易,但现在您需要费力地将凭据和客户端软件发送给所有测试人员。如果他们不直接为您工作,他们可能不喜欢安装特殊软件。

第四个想法:将 squid 或 Web 服务器设置为代理。让该代理服务器在将请求传递到“真正的”测试版 Web 服务器之前要求进行身份验证。

相关内容