У меня есть небезопасный Метеор, работающий на AWS. Для не знакомых с Метеором, который означает, что я использую "небезопасный" пакет, который обменивает безопасность на быстрое прототипирование.
Мне только нужны наша группа разработчиков и заинтересованные стороны для доступа к серверу. В прошлом я решил проблему, просто добавив общие IP-адреса в белый список в брандмауэре. Теперь команда является довольно многочисленной, и сбор общих IP-адресов могло бы быть трудно сделать.
Таким образом, я хочу к паролю - защищают использование Метеора Nginx.
Я знаю, как к паролю - защищают HTML; но Метеор использует Websockets, что-то, с чем я абсолютно незнаком. Как делают меня, пароль - защищает websockets?
здесь есть много вопросов.
Вы можете использовать auth_basic наверняка, но что ж, это не более безопасно, чем использование токенов.
Чтобы защитить свой сервер и прокси nginx, попробуйте это руководство от Digital Ocean.
Чтобы защитить свое приложение, попробуйте это руководство , чтобы начать работу.
Убедитесь, что вы в безопасности. ваши методы и публикации. Поймите, кто может вызывать ваши методы и какие данные публикуются для клиента. Как только вы это сделаете, ваш набор. В этот момент хорошим вариантом будет попросить другого разработчика Meteor проверить вашу работу.
Безопасность не является загадкой, просто следуйте лучшим практикам, и все будет в порядке. Многие разработчики этого не делают, так что вам просто не нужно быть самым бедным из них.
HTTP Основная аутентификация применяется как к соединениям вебсокетов, так и к "обычным" HTTP соединениям, поэтому включение auth_basic
должно выполнить трюк, для приемлемо низких порогов "трюка".