限制对登录表单访问的安全方法

Question

我正在尝试找出一种安全的方法来限制对基于web的应用程序的访问。它将只用于公司内部使用的少数用户，我需要一个安全的方式来提供访问登录表单只有那几个人。我尝试通过创建文件'user.txt‘来完成此操作，并希望将其保存到这些未来用户的每台个人计算机上，因此登录页面首先检查file_exists是否显示登录表单，否则将重定向访问者。不幸的是，我无法使用Windows7计算机权限或文件路径进行管理，但脚本总是显示文件不存在。所以现在，我需要找到另一种方法来锁定登录页面。有什么想法比IP地址更安全吗？我如何才能识别这5-6个用户的计算机？谢谢！

Answer 1

没有可靠的方法来识别特定的计算机。

首先，使用登录表单的目的通常是将访问权限限制为选定的人员，这通常就足够了。

如果您想更进一步，您可以使用SSL客户端证书(用于身份验证)，该证书必须安装在客户端计算机上。

Answer 2

file_exists只能在服务器上运行，它不能访问用户机器上的文件...想象一下将导致的安全风险。

相反，如果它是公司内部使用的，那么显而易见的第一步是限制访问属于公司的IP地址上的人。您可以使用$_SERVER['REMOTE_ADDR']来获取该信息。

接下来，有多少人访问登录表单并不重要，因为他们需要一个帐户才能登录。如果您自己创建帐户，并要求用户在首次登录时更改密码，则无需担心。

Answer 3

您还可以使用http auth来避免编写额外的代码来处理登录表单。创建一个具有某些密码的用户，并将其分发给您的内部网络用户。