問題タブ [uat]

クライアント用の Web アプリケーションを構築しています。予備のドメインでパブリックにホストして、進行中にアクセスしてレビューできるようにしたいと考えています。実際のドメインでライブになったときにどのように体験するか、できる限り近いものにしたいと考えています。

アプリケーションは Laravel で構築されており、ほとんどのページはログインが必要なため、自動的に保護されています。ただし、公開されているものもあります。もちろん、robots.txt を設定して、検索エンジンによるインデックス登録を阻止しますが、これは確実ではありません。

安全な方法で顧客にアクセスを提供するには、どのようなオプションがありますか? これまでの私のリストは次のとおりです。

• まだ保護されていないルートに HTTP 基本認証を実装します。しかし、アプリケーション レベルの認証は (RBAC などを使用して) すでに十分に複雑であるため、私はむしろそうしたくありません。
• .htaccess を変更して、職場のネットワークからの IP アドレスのみを許可します。ただし、モバイル ワーカーがいるため、これは優れたソリューションではありません。
• VPN をセットアップします。これは私の得意分野ではなく、大変な作業のようです。
• 仮想ホストを開始/停止するためのアクセス権を付与するか、アプリケーションを開発モードにします。これは、チーム メンバーがテスト セッションを調整する必要があり、制限が厳しすぎることを意味します。

他にどのようなオプションがありますか?

JIRA の検索を 1 日に約 50 回使用しますが、そのたびに入力した内容が忘れられてしまいます。最後の検索またはプロジェクト コードを記憶するように指示する方法はありますか。(プロジェクト コードとは、「AAQT-」などのバグ コードの最初の数文字を意味します)。

私の質問は主に、Spring アプリケーションで同じユーザーに提示される、別々の真の認証ソースを持つ 2 つのログイン フォームを持つことが可能かどうかに関するものです。

UATまたはProductionのどちらのプロファイルが選択されているかに応じて、異なるセキュリティ構成クラス (またはstatic 内部構成クラスを持つ同じクラス) を Maven ビルドに追加したいと考えています。または、デプロイメント環境でこれを制御します (フレームについては以下を参照してください)。

どちらの場合でも、アプリケーションには「特権」アクセス (管理ページなど) 用の独自の認証プロンプトが必要であり、このためのアプリのログイン ページを表示したいと考えています。

ただし、UATプロファイルの場合、ユーザーがページを表示する前に追加のログイン ページと、それらの保護されたページにアクセスした場合の管理機能のログイン ページを確認したいと考えています。

アイデアは、本番環境で動作するのとまったく同じように UAT でアプリケーションを表示することです。

どんなアイデアでも喜んで検討しますが、私の理想的なケースは、個別の Spring Security 構成セットでこれを許可することです。

私が試したこと/考えたこと

動的フィルター リクエストをキャッチし、別のログイン ページの表示と外部認証の処理を唯一の目的とするサーブレットに転送する動的フィルターを登録することで、このアイデアを実装することができました。 UAT のビルド時間)、しかしそれは Spring アプリではなく、ディスパッチ サーブレットはそのアプローチを無効にするだろうと私は信じています。

フレーム (app-ception) 独自のセキュリティを持つ外側の「UAT ビューアー」アプリのフレーム内にアプリを表示するというアイデアを検討し、Spring セキュリティの懸念を理論的にセグメント化しました。しかし、それが外側のアプリと内側のアプリに異なる Cookie を作成するかどうかはわかりません (セキュリティ上の理由からフレームを考慮することはめったにありません)。理想的には、クリックジャッキングを防ぐために x-frame-options ヘッダーのすべてのフレーミングを拒否したいのですが、このアプローチが可能であれば、フレーム ポリシーを同じオリジンに変更するだけで十分です。

最初にフレーム アプローチを試して、また報告しようと思います。

このことを考えてみると、フレーム内に表示される内部アプリは、クライアントがロードできるように外部からアクセスできる必要があります。そのため、このアプローチは、コードへの影響を最小限に抑えて内部アプリケーションを分離するという目的を無効にします。