嗨,這是更多的代碼安全問題,而不是一個直接編碼相關問題的問題。但我想知道是否有可能看到ui.R和server.R中的代碼,並生成應用程序Web瀏覽器頁面?是可以看到閃亮的微光應用代碼
例如雖然我確信我可以問Garrett看代碼...有沒有可能在未經授權的情況下以某種方式查看與此URL http://glimmer.rstudio.com/gsee/TFX/相關的代碼,該代碼正在運行一個閃亮的應用程序?彷彿搭建敏感數據/代碼等
有沒有一種方法來添加一個安全的用戶名和密碼晶靈應用,這可能是一個問題嗎?這樣只有選定的用戶才能訪問該應用程序?
我明明知道你可以看到,從運行學家光亮的應用程序代碼,但更好奇一絲應用。
P.S.加勒特(如果你看到這個),我只是使用你的應用程序作爲一個好的應用程序的例子...因爲它使用微光...,在我看來它的代碼很有吸引力。
當您談到在glimmer.rstudio.com上運行的閃亮應用程序時,您將討論在閃亮的服務器上運行的應用程序(與通過調用runApp的本地應用程序運行的應用程序相反)。
一個這樣的,ui.R和server.R位於服務器上,並且它們在運行時不會下載到您的計算機。此外,它們似乎受到閃亮的保護,就好像您嘗試通過URL訪問它們一樣,例如http://shinyserver.example.com/app/server.R,您將得到的只是一個HTTP 404錯誤。
那麼,以同樣的方式,這是不可能的訪問PHP或Ruby文件電力網站或Web應用程序,你不能,出於顯而易見的安全原因,訪問R上的文件後面的一個閃亮的應用。
至於保護對閃亮應用程序的訪問,我不確定它是閃亮服務器中的內置功能,但是如果您在Apache或Nginx代理後面運行它,應該可以使用HTTP身份驗證。
注:我不是一個閃亮的專家,所以這個答案可能是部分錯誤的。我只希望不要完全:)
眼下,不豎起敏感代碼或數據的一絲服務器上!這是不安全的,服務器的任何用戶都可以訪問其他用戶的代碼/數據。一個錯誤報告已經提交,開發人員正在努力,但令我驚訝的是,服務器仍然在線。
用戶名/密碼是不會幫助這個bug。如果您需要安全性,請自行託管Shiny Server,因爲微光服務器不安全。
嗨dlib,我很尷尬地承認你的bug報告電子郵件已轉發給我,但我完全錯過了它,現在只能看到它看到這個張貼和搜索我的電子郵件。我們已經處理了您所報告的問題,但我們並不認爲任何用戶代碼/數據都有風險。我將通過電子郵件跟進您的情況,以幫助確定這是否屬實,並且此時是否還有其他問題需要解決。謝謝! –
使用從晶靈封裝的dynamicUI我可能考慮(http://rstudio.github.com/shiny/tutorial/#dynamic-ui)和做簡單的東西一樣,如果用戶名== x和密碼= = y然後執行其餘的閃亮的應用程序,否則...說拒絕訪問......但我覺得它可能有點太簡單了...並想要求其他人聽到他們的想法...... –
保護訪問一個閃亮的應用程序是一個不同於你問的問題,我認爲你應該打開一個新的問題。 – juba
啊我想這是略有不同,我想我想要兩個問題的答案......,但會發布關於保護對閃亮應用的訪問的另一個問題。 –