限制從 Internet 訪問與網站自身身份驗證相衝突的 beta 網站

我有一個在 Apache Tomcat 上執行的 java 網站。

由於該網站處於 Beta 階段，**我不希望 Internet 上的任何人都可以公開訪問它，**並且我希望一組受限制的 Beta 測試人員訪問該網站，從而限制對該網站所有頁面的訪問。

問題是該網站已經使用 Spring Security來讓最終成為成員的成員作為應用程序業務邏輯的一部分進行身份驗證（例如，在他們註冊之後）。

回顧一下：我只希望 Beta 測試人員訪問該網站。之後，他們將能夠瀏覽“公共”頁面並註冊為網站成員，然後瀏覽“私人”頁面。

因此，我進行了某種雙重身份驗證。我不確定如何用我的 Ubuntu 盒子做到這一點。

任何人都可以提供建議嗎？

第一個想法：如果 beta 測試人員來自已知 IP 地址，則只需根據 IP 進行過濾。這可以在防火牆、網路伺服器或應用程序中完成。如果使用者 IP 將發生變化，也許他們可以訪問第二個網頁，輸入使用者名和密碼，然後他們的 IP 在 beta 應用程序（或防火牆/網路伺服器）內被列入白名單。

下一個想法是將 Beta 站點隱藏在防火牆後面，並為 Beta 測試人員提供一個可以訪問的 VPN。設置起來非常容易，但現在您很難將憑證和客戶端軟體提供給所有 Beta 測試人員。如果他們不直接為您工作，他們可能不喜歡安裝特殊軟體。

第四個想法：設置 squid 或網路伺服器作為代理。在將請求傳遞給“真正的”測試版網路伺服器之前，讓該代理伺服器要求身份驗證。

引用自：https://serverfault.com/questions/545202