0
我有一個基於Web的應用程序,用於查找有關設施中各種資產的信息。這僅提供搜索功能,不允許從應用程序中執行CRUD操作(READ除外)。該Web應用程序始終在觸摸屏設備(即工作站)中保持打開狀態,並可由任何設施人員使用。用戶不希望爲每個搜索操作啓動登錄和註銷。沒有登錄屏幕的只讀web應用程序的身份驗證
我們正計劃將Web應用程序部署到雲上。儘管不需要對訪問Web應用程序的用戶進行身份驗證,但仍需要確保有關設施中資產的信息不能被其他人訪問。我如何構建這個身份驗證層?我能想到的各種選項是: 1.在URL中包含用戶標識/密碼作爲參數。我可以爲每個設施創建一個用戶名/密碼。簡單,但用戶名/密碼區域始終可見。 2.基於證書的方法。爲每個這些工作站創建證書並部署在這些工作站上。相當安全,但對管理證書生命週期具有挑戰性。以及來自不同設施的證書配置網絡服務器的挑戰?
有什麼建議嗎?
感謝, 人員Prasanna
感謝Miro。正如您所提到的,檢查IP地址將不安全,並且它可能無法與DHCP配合使用。與你的第二個建議相關,是不是和我在主線程中提到的第一個選項一樣?我的問題是 - 你將如何以及在哪裏存儲密碼?如果它是URL的一部分,不會覺得自己是一個安全的解決方案。 – phebbar
所以第二個選項有兩種方法: 1.設置整個系統的正常密碼,並在每次系統關閉並打開時檢查密碼。用'isdefined()'函數。只需在每個文件的開頭和'isdefined()'中說'session_start()',以檢查您是否已經過身份驗證或否。如果沒有則重定向到登錄頁面,如果是,則顯示請求的頁面.. –
第二個選項,用用戶和密碼建立數據庫每個部分然後總體上是一樣的但是做數據庫查詢和檢查用戶和密碼在登錄頁面。 –