Я создал приложение MVC 5. Пришло время опубликовать его в производстве. Инфраструктура состоит из двух серверов: к одному можно получить доступ в Интернете, а к другому - только в интрасети. Сервер - это Windows Server 2012 R2 и использует IIS 8.5 для размещения приложения.
Приложение состоит из серверной части и внешнего интерфейса. Функционал Backend доступен только при входе в систему.
Проблема, которую я хочу решить: как предотвратить вход в приложение из Интернета и разрешить его только в интрасети?
Я думаю, что это может быть некоторая конфигурация в web.config, чтобы предотвратить открытие страницы входа.
Я прочитал много статей, но все результаты направлены на защиту страниц неавторизованных пользователей. В моем случае контроллер входа в систему имеет атрибут [AllowAnonymous], и к нему можно получить доступ без авторизации.
Если это можно сделать с помощью простой конфигурации в web.config, я собираюсь добавить ключ в web.config, чтобы отслеживать, где это сервер в Интернете или сервер в интрасети, например:
//for server accessible on intranet
<add key="serverType" value="PUBLIC"/>
// or
//for server accessible on intranet
<add key="serverType" value="Private"/>
И в соответствующем контроллере для входа в систему я проверю значение, и если оно ConfigurationManager.AppSettings["serverType"] == "PUBLIC", я перенаправлю его на общедоступную домашнюю страницу сайта.
Есть ли у этого решения проблемы с безопасностью?
