UI默认不鉴权的安全性

[S-Curry]

作者大大，关于代理配置界面的安全性，我看现在是默认8899会同时开放代理和UI，这个UI只要能连上代理的都能访问，并且默认是不进行鉴权，能不能加个配置，UI仅本机能访问？

[avwo]

装个插件：https://github.com/whistle-plugins/whistle.proxyauth

[S-Curry]

身份认证只是一个方面吧，对于个人来说还行，但是公司内部其他人员使用，很难保证密码强度弱可以被爆破。 这个默认的UI，有什么场景需要对外开放吗，相当于是配置界面和流量抓取界面对外开放了，安全性还是不太友好的

[S-Curry]

另外这边对UI端口和代理端口也做了尝试，但是这边发现代理端口一定也可以作为UI端口去访问，这样的话，在PC上做防火墙策略也是不行，禁用端口会把代理和UI服务都禁用 有没有什么办法可以把这代理服务和UI分成独立的两个端口呢？

[avwo]

命令行启动可以限制外部请求访问：w2 restart -H 127.0.0.1

[S-Curry]

但是这样的话，代理服务和UI都用不了了

[S-Curry]

想要的效果是代理服务可以，但是UI只对本地生效

[avwo]

部署到外网 UI 可以用独立host和端口 w2 start -P "127.0.0.1:9000" （端口可以自定义）