我有一些服务通过内网穿透映射到了外网,觉得不怎么安全,想给其添加一个 2FA 的验证网站,有什么好的思路吗?
就是访问 A ,B 网站时会跳转到验证网站,输入 2FA 密码,验证成功就跳转回去
1
python35 38 天前
你这个需求跟 SSO 单点登录好像
|
2
kiritoyui 38 天前
web 服务没有认证么?反代那边开一个 basic auth?
|
5
mcone 38 天前
我也在打洞,我觉得 nginx/apache 提供的 basic auth 基本够用了,本来你的穿透理论上都是不公开的,再加个随机生成的复杂密码(还能让浏览器记住),不是比 2fa 还方便么……
|
6
bobryjosin 38 天前 via Android
https://github.com/greenpau/caddy-security
不过这玩意是 caddy 实现的,要么试试 cf 的 zerotrust ,添加 github 或者 azure ad 验证,点一下就过了,缺点就是速度一般 |
7
fox0001 38 天前 via Android
其中一个解决方案是,使用手机端的 2FA 应用。具体可以搜搜 freeotp
|
8
yanghanlin 38 天前
利用 Auth0 等 IDaaS 的方案,加上 oauth2-proxy 呢?这样应该可以做到在网关层实现鉴权,不用修改业务代码,也不用自己维护单点登录的服务
|
9
WildCat 38 天前 1
oauth 不更好?
|
10
jerrywaffle 38 天前 via iPhone
authelia
|
12
ysc3839 38 天前
我记得有对接 ngx_http_auth_request_module 的项目,可以看看
|
13
Trim21 38 天前
|
14
ladypxy 38 天前 via iPhone
nginx+lua 的组合居然没人提? 10 多年前就实现这功能了吧。lua 验证 cookie ,没有的话就跳转
|
15
z7356995 38 天前 via Android
加一个微信验证登录,登录成功后,后台直接写死自己的微信 id ,其他微信 id 都拒绝
|
16
MrOops 38 天前
|
17
IvanLi127 38 天前
https://www.authelia.com/overview/prologue/supported-proxies/
可以和 nginx 集成。不过我推荐用 traefik 反向代理。能实现反向代理统一额外套一层身份验证,可选要不要 2FA ,后续可以进一步集成到应用里实现单点登录。 快上车 |