9
votes

Heroku Powered Private restreint Beta

J'aimerais lancer une application dans une bêta privée restreinte sur Heroku.

Nous modifions régulièrement l'application et nous n'avons pas effectué d'audit de sécurité.

Pour arrêter toute personne exploitant des trucs, nous aimerions verrouiller tout le site. Vous avez donc besoin d'un mot de passe pour accéder à n'importe quoi.

idéalement similaire à l'utilisation de fichiers .htaccess et .HTPASSWD pour verrouiller un site entier sur un serveur Apache.

Y a-t-il un simple moyen de faire cela pour une application héro-héroku?

security heroku ruby-on-rails

1 commentaires

Dupliquer / Similaire de Stackoverflow.com/Questtions/3839167/...

3 Réponses :

3
votes

.htaccess et .htpasswd indique essentiellement Apache d'authentifier l'utilisateur à l'aide d'un système d'authentification de base. Vous pouvez faire la même chose avec une couche pure-rack.

voir http://rack.rubyforge.org/doc/rack/ Auth / basic.html

Parce que vous utilisez Heroku, je suppose que vous déployez une application compatible avec rack (une application de rack, de rails ou de SINATRA).



                                                                    
                                    
                                    
                                        0 commentaires


                        
                                            
                            
                                
                                    5
 votes
                                
                            
                            
                                
                                     Il suffit d'utiliser  authentifier_or_request_with_http_basic  dans un fichier avant_filter dans votre applicationController. 

 Voir cet épisode Railscasts pour les instructions:  http://railcasts.com/episodes/82 -http-basic-authentification                                  


                                                                    
                                    
                                    
                                        3 commentaires
                                        
                                                                                            
                                                    essayé, mais ne jouerais pas bien avec le congé. semblait générer une boucle de redirection infinie                                                
                                                
                                                                                            
                                                    Ah! Il suffit d'ajouter  warden.custom_failure! Si effectué?  à la fin de votre méthode de filtrage (comme dans  gist.github.com/dc7906d07174c85145514)                                                

                                                
                                                                                            
                                                    J'ai essayé cette méthode avec le  warden.custom_failure! Si effectué? , et cela fonctionne, mais cela provoque un autre problème. Lorsque vous essayez de vous connecter en tant qu'utilisateur (à l'aide du congé), il est indiqué «mauvais nom d'utilisateur et mot de passe», probablement parce qu'il tente d'utiliser l'U / P i utilisé pour l'authentification de base HTTP. Des idées?                                                

                                                
                                                                                    

                                    

                                                            

                        

                        
                                            
                            
                                
                                    1
 votes
                                
                            
                            
                                
                                     sur la base de rack comme ceci :)   http://www.sinatrarb.com/ FAQ.HTML # Auth   P> 
  use Rack::Auth::Basic, "Restricted Area" do |username, password|
    [username, password] == ['admin', 'admin']
  end

                                

                                                                    
                                    
                                    
                                        0 commentaires


            
                
		    
                    Articles qui pourrait vous intéresser :
                                            
                            Ce code est-il un keylogger? Qu'est ce que ça fait?                        
                        
                                            
                            Quelle est la différence de sécurité entre les clés API et le flux d'informations d'identification client d'OAuth?                        
                        
                                            
                            Quelqu'un essaie-t-il de pirater? Réception de demandes suspectes sur mon serveur Apache2 Ubuntu 18.04                        
                        
                                            
                            Comprendre la sécurisation des jetons d'accès et des jetons d'actualisation