Gekko 本身的網頁 UI 沒有附帶任何身分驗證機制,換句話說如果開在公網上只要有你主機 IP 的人都可以進到控制介面,雖然 Gekko 加入了 API Key 之後是沒辦法看到原始的金鑰字串,但畢竟仍然有交易功能,可能被有心人士惡搞。目前的做法多半會是從主機端的安全來著手,開在 Google Cloud (GCP) 或 Amazon EC2 的可以使用它本身的防火牆規則來去禁止非你以外的 IP 連線,但對於大多數人可能不像我有靜態 IP,變得每次 ISP 重新分配 IP 或使用別的網路連線又要重設,為了安全要付出的麻煩還真不少阿。
所以就想到做一個很陽春的 http-auth 基本身分驗證機制,簡單說就是要登入啦,在讀入 Gekko UI 之前得要先輸入設定的帳號密碼才能通關,雖然不敢保證這個安全機制萬無一失,但至少是多了一層保護,而且安裝也很簡單,最重要的還是不要隨便透漏自己的 IP 給他人啦。
npm install http-auth
var auth = require('http-auth');
var basic = auth.basic({
realm: "Restricted",
file: __dirname + "/pass.htpasswd"
});
app.use(auth.koa(basic));
切記,這個並不是非常有效的安全機制,安全最好還是從主機端的防火牆著手,不要開啟不需要的 Port,也不要隨意讓別人知道你的主機 IP 避免自己交易所的 API 落入他人之手。
所以就想到做一個很陽春的 http-auth 基本身分驗證機制,簡單說就是要登入啦,在讀入 Gekko UI 之前得要先輸入設定的帳號密碼才能通關,雖然不敢保證這個安全機制萬無一失,但至少是多了一層保護,而且安裝也很簡單,最重要的還是不要隨便透漏自己的 IP 給他人啦。
首先要安裝 http-auth 的套件才能使用身分驗證的功能。
再來打開 Gekko 資料夾中的 web/server.js,分別加入以下兩段程式碼。
var basic = auth.basic({
realm: "Restricted",
file: __dirname + "/pass.htpasswd"
});
這段加到 server.js 的最上方就可以了,pass.htpasswd 就是你的金鑰,可以自行更改檔名或路徑,之後記得上傳到與程式碼指定的相同路徑就好了。
這段則加到 const app = koa(); 後面即可。
之後就要製作金鑰檔,基本上就是文字檔,簡單的格式就是「帳號:密碼」 ,建議你的密碼可以拿去加密,不要直接放解密的密碼比較好。把這個檔案存成 pass.htpasswd 或你剛剛指定的檔名,上傳到 gekko/web 內 (或你指定的路徑)。
製作加密 (encrypt) 的密碼可以參考這個網站的產生器,只要把密碼打入就可以加密了,如果不放心使用線上的服務也可以去下載加密用的軟體回來跑。
之後在從瀏覽器進入 Gekko 介面時就會要求帳號密碼來進行身分驗證了,你也可以在 pass.htpasswd 內新增多個帳號密碼組合供更多人使用。
切記,這個並不是非常有效的安全機制,安全最好還是從主機端的防火牆著手,不要開啟不需要的 Port,也不要隨意讓別人知道你的主機 IP 避免自己交易所的 API 落入他人之手。
留言
張貼留言