Authentication 无登录屏幕的只读web应用程序的身份验证
我有一个基于web的应用程序,用于查找设施中各种资产的信息。这只提供搜索功能,不允许应用程序执行CRUD操作(读取除外)。该web应用程序在触摸屏设备(即工作站)中始终保持打开状态,任何设施工作人员都可以使用该应用程序。用户不希望为每个搜索操作启动登录和注销 我们计划将web应用程序部署到云上。尽管不需要对访问web应用程序的用户进行身份验证,但仍然需要确保其他人无法访问有关设施中资产的信息。如何构建此身份验证层?我能想到的各种选择是: 1.在URL中包含用户名/密码作为参数。我可以为每个设施创建一个用户ID/密码。简单,但用户ID/密码区域始终可见。 2.基于证书的方法。为每个工作站创建证书并部署在这些工作站上。相当安全,但面临管理证书生命周期的挑战。以及使用来自不同设施的证书配置web服务器的挑战 有什么建议吗 谢谢,Authentication 无登录屏幕的只读web应用程序的身份验证,authentication,login,Authentication,Login,我有一个基于web的应用程序,用于查找设施中各种资产的信息。这只提供搜索功能,不允许应用程序执行CRUD操作(读取除外)。该web应用程序在触摸屏设备(即工作站)中始终保持打开状态,任何设施工作人员都可以使用该应用程序。用户不希望为每个搜索操作启动登录和注销 我们计划将web应用程序部署到云上。尽管不需要对访问web应用程序的用户进行身份验证,但仍然需要确保其他人无法访问有关设施中资产的信息。如何构建此身份验证层?我能想到的各种选择是: 1.在URL中包含用户名/密码作为参数。我可以为每个设施创
普拉桑纳是一件简单但不安全的事情。进行IP检查,如果IP来自您的设备,则授予访问权限。
第二种安全的方法是,在应用程序开始时只使用密码进行验证,并存储一个会话,这样您就可以知道您所在机构的人员正在访问该站点。谢谢Miro。正如您所提到的,检查IP地址是不安全的,而且它可能不适用于DHCP。关于你的第二个建议,它和我在主线程中提到的第一个选项不一样吗?我的问题是-如何以及在哪里存储密码?如果它是URL的一部分,感觉不是一个安全的解决方案。因此,对于第二个选项,您有两种方法可以做到这一点:1.为整个系统设置一个普通密码,并在每次关闭和打开系统时检查密码。使用
isdefined()session\u start()isdefined()