Как я могу защитить небезопасный Метеор с помощью Nginx?
У меня небезопасный Метеор, работающий на AWS. Для тех, кто не знаком с Meteor, это означает, что я использую "небезопасный" пакет, который обменивает безопасность на быстрое создание прототипов.
Мне нужна только наша команда разработчиков и заинтересованные стороны для доступа к серверу. Раньше я решал эту проблему, просто заняв белый список всех IP-адресов в брандмауэре. Сейчас команда довольно большая, и собирать IP-адреса у всех может быть сложно.
Поэтому я хочу защитить Meteor паролем с помощью Nginx.
Я знаю, как защитить паролем HTML; но Метеор использует Websockets, что мне совершенно незнакомо. Как защитить паролем веб-сокеты?
2 ответа
В этом есть много возможностей.
Вы можете использовать auth_basic, но это не более безопасно, чем использование токенов.
Чтобы обезопасить свой сервер и прокси-сервер nginx, попробуйте это руководство от Digital Ocean.
Чтобы обезопасить свое приложение, попробуйте это руководство, чтобы начать.
Обязательно обеспечьте безопасность своих методов и публикаций. Понять, кто может вызывать ваши методы и какие данные публикуются для клиента. Как только вы это сделаете, ваш сет. В этот момент хорошая просьба попросить другого метеоролога проверить вашу работу.
Безопасность не является загадкой, просто следуйте рекомендациям, и все будет в порядке. Так много разработчиков не делают этого, поэтому вам просто не нужно быть самым низким висящим фруктом.
Базовая аутентификация HTTP применяется к соединениям через веб-сокеты, а также к "обычным" соединениям HTTP, поэтому auth_basic следует сделать трюк, для достаточно низких порогов "трюк".