Как я могу защитить небезопасный Метеор с помощью Nginx?

У меня небезопасный Метеор, работающий на AWS. Для тех, кто не знаком с Meteor, это означает, что я использую "небезопасный" пакет, который обменивает безопасность на быстрое создание прототипов.

Мне нужна только наша команда разработчиков и заинтересованные стороны для доступа к серверу. Раньше я решал эту проблему, просто заняв белый список всех IP-адресов в брандмауэре. Сейчас команда довольно большая, и собирать IP-адреса у всех может быть сложно.

Поэтому я хочу защитить Meteor паролем с помощью Nginx.

Я знаю, как защитить паролем HTML; но Метеор использует Websockets, что мне совершенно незнакомо. Как защитить паролем веб-сокеты?

2 ответа

В этом есть много возможностей.

Вы можете использовать auth_basic, но это не более безопасно, чем использование токенов.

Чтобы обезопасить свой сервер и прокси-сервер nginx, попробуйте это руководство от Digital Ocean.

Чтобы обезопасить свое приложение, попробуйте это руководство, чтобы начать.

Обязательно обеспечьте безопасность своих методов и публикаций. Понять, кто может вызывать ваши методы и какие данные публикуются для клиента. Как только вы это сделаете, ваш сет. В этот момент хорошая просьба попросить другого метеоролога проверить вашу работу.

Безопасность не является загадкой, просто следуйте рекомендациям, и все будет в порядке. Так много разработчиков не делают этого, поэтому вам просто не нужно быть самым низким висящим фруктом.

Базовая аутентификация HTTP применяется к соединениям через веб-сокеты, а также к "обычным" соединениям HTTP, поэтому auth_basic следует сделать трюк, для достаточно низких порогов "трюк".

Другие вопросы по тегам