Что касается веб-сайта, который вы хотите сохранить конфиденциальным, в ситуации, когда вы не можете ограничить / разрешить IP-адреса для своих пользователей, а защита паролем не может быть реализована. Но вы можете заставить своих пользователей использовать настраиваемый пользовательский агент.
В качестве первой линии защиты я думаю об отказе от всех пользовательских агентов и о разрешении одного неоднозначного.
В документации Apache говорится:
Контроль доступа с помощью User-Agent - ненадежный метод, поскольку заголовок User-Agent может быть установлен на все, что угодно, по прихоти конечного пользователя.
Но я считаю, что в обратном порядке отрицать все и принимать только одно - это может быть весьма эффективным.
Мои вопросы: 1.) описать ситуацию, кажется ли это хорошим решением; 2.) есть ли способ для людей выяснить, какие пользовательские агенты разрешены на данном сервере?
Но я считаю, что в обратном порядке отрицать все и принимать только одно - это может быть весьма эффективным.
Документация, которую вы процитировали, специально предупреждает против того, что вы предлагаете.
Если ваш трафик не проходит через зашифрованный (HTTPS) канал (кажется, что это, вероятно, не тот случай, если у вас нет возможности использовать какие-либо другие средства аутентификации), случайный наблюдатель в любом месте между вашей клиентской сетью и сетью назначения сможет чтобы узнать, какие пользовательские агенты "приняты" вашим сервисом, т. е. у вас нет гарантии конфиденциальности.