我想在服务器上托管受密码保护的静态网站,并满足以下2个要求:
- 静态网站凭据绝不能授予托管服务器任何其他访问权限。
- 托管必须与其他 IIS托管网站 很好地配合
托管服务器正在运行Windows 10 Pro。
我确定了4个选项:
- 在启用了基本身份验证的IIS中托管它
- 将其托管在Apache中,使用单独的端口,并使用.htpasswd文件进行保护
- 将其托管在VM中的Apache中,使用桥接网络,并使用.htpasswd文件进行安全保护
- 开发中间件/路由请求身份验证应用程序
选项1:
Evidently,this option requires a whole new User on the computer.
我不了解新用户访问的限制。
当我按下WindowsKey + R并运行netplwiz时,我可以将用户配置为属于以下组之一:
- 用户(默认):防止用户进行系统范围的意外或有意更改,并且可以运行大多数应用程序。
- 来宾:默认情况下,来宾与“用户”组的成员具有相同的访问权限,但来宾帐户的访问权限受到限制,如前所述。
- IIS_IUSR :Internet信息服务使用的内置组。
我在任何microsoft文档中都找不到以下信息:
- IIS如何“使用” IIS_IUSR
- 如果这些组中的任何一个限制所有访问权限,而不是查看基本身份验证网站
- 由用户登录凭据授予的权限的详尽列表以及每个组
这种方法充其量似乎令人迷惑和烦恼,而最糟糕的是完全安全失败。
选项2:
这对我来说似乎更安全,因为我可以更好地了解用户访问的限制。
选项3:
这似乎更加安全,因为未直接访问托管服务器。 我不知道这是否还会创建其他安全漏洞。
选项4:
这似乎是最安全的,因为我对网站的访问有充分的了解和控制。 不过,这可能需要很多工作。