想基于 Nuxtjs 做个工具类的应用,能够让人直接部署到 Vercel 上使用,这个工具需要一个管理系统,让用户修改配置。
有没有能够防止管理系统被暴力破解的方法呢?套个 CF 有用不?
1
google2020 253 天前
vercel 有数据库服务啊,KV 和 Postgres ,可以做个引导安装,没设置账户密码的要先设置,然后存起来
|
2
LunaSeki OP @google2020 嗯嗯,本来项目就用了 Prisma 结合 Vercel 的数据库的,因为只有一个管理员所以感觉存进数据库似乎不是很有必要(不太了解)?所以就不做用户系统,打算用环境变量配置一下密码就行了
可能我没表达清楚,我不懂把权限验证页面暴露在公网时要做什么防护。。需要做什么处理防止被暴力破解吗 |
3
GenericT 253 天前
只要是用密码的服务不都会被暴力破解吗?防止暴力破解就加个重试限制呗
|
4
henix 253 天前 1
我理解应该有一个部署脚本(安装程序)吧,用户运行这个脚本来安装到 vercel 上,那么密码必须不固定,要么由用户自己设置,要么生成一个随机密码,返回给用户即可。
同理,如果要进一步提升安全等级,可以考虑两步验证( 2FA / TOTP ),用户运行安装脚本安装成功后,返回一个二维码,用户可以用各类验证器扫码,登录时要求输入两步验证码。 要防止被人暴力穷举密码,可以在登录页面加入文字验证码,或添加一定时间内 ip 的尝试次数限制。 |
5
baobao1270 253 天前 via Android 1
两个办法
1. Cloudflare Zerotrust ,虽然是第三方但是不需要 AppCode 2. 环境变量设置密码哈希,用 argon2 |