У меня на AWS работает небезопасный Meteor. Для тех, кто не знаком с Meteor, это означает, что я использую «небезопасный» пакет, который меняет безопасность на быстрое прототипирование.
Мне нужна только наша команда разработчиков и заинтересованные стороны для доступа к серверу. Раньше я решал проблему, просто занося в белый список всех IP-адресов в брандмауэре. Теперь команда довольно большая, и собрать все IP-адреса может быть сложно.
Итак, я хочу защитить Meteor паролем с помощью Nginx.
Я знаю, как защитить HTML паролем; но Meteor использует Websockets, с чем я совершенно не знаком. Как мне защитить паролем веб-сокеты?
в этом есть много чего.
Конечно, вы можете использовать auth_basic, но это не более безопасно, чем использование токенов.
Чтобы защитить свой сервер и прокси nginx, попробуйте это руководство пользователя Digital Ocean.
Чтобы защитить ваше приложение, попробуйте это руководство для начала.
Убедитесь, что вы обезопасили свои методы и публикации. Поймите, кто может вызывать ваши методы и какие данные публикуются для клиента. Как только вы это сделаете, ваш набор. В этот момент хорошим вариантом будет попросить другого разработчика Meteor оценить вашу работу.
Безопасность - это не загадка, просто следуйте лучшим практикам, и все будет в порядке. Многие разработчики этого не делают, так что вам просто не нужно быть самым бедным из вас.
Базовая аутентификация HTTP применяется как к соединениям через веб-сокеты, так и к «обычным» соединениям HTTP, поэтому включение auth_basic
должен сделать свое дело, для достаточно низких пороговых значений "фокус".