限制对“admin”的访问网站面板？

Question

如何限制对我网站的管理/部分的访问？我无法通过 IP 地址限制它，因为我们有时需要从远程客户端位置访问 admin/ 部分（在进行演示等时）。

当然，有一个管理员用户名/密码 - 但我还能做什么？

Answer 1

大多数应用程序仅使用用户名/密码进行访问控制，这通常就足够了。一些需要额外安全性的设备使用双因素身份验证，这可能意味着使用您随身携带的令牌（例如生成与服务器保持同步的令牌的设备）或发送给您的令牌（例如系统向您的手机发送一条短信，其中包含一个令牌（除密码外还必须输入该令牌）。

一个更简单的选择是使用客户端证书进行身份验证；您可以将证书放在拇指驱动器上随身携带，以防您在远程位置（只需记住在完成后从远程计算机中删除证书）。

这是不错的文章客户端证书认证。

另一种选择是仅允许来自本地网络的连接，然后使用 VPN 将远程计算机加入本地网络。

Answer 2

如果管理界面位于单独的文件夹中，您可以使用 .htaccess 和 http auth。同样可以使用例如轨道来限制对某些路线（控制器）的访问。