请教关于后台管理系统的问题

接了一个私活，需要后台管理一些配置文件，功能就是 CRUD 那些配置。目前想到的是直接放在公网，加一个登录页面，登录生成 token ，然后每次请求后台验证 token 是否过期，没有过期就可以正常请求，有过期就返回到登录页面。但是觉得不安全，虽然管理后台网站也不是什么盈利网站，黑客也盯不上。想着能不能把管理后台放在内网，VPC 内，然后客户通过 VPN 连接到 VPC 网络，这样也不需要登录页面。但是这样 VPN -> VPC 该怎么做，目前不是很清楚。或者各位彦祖爸爸们有什么好的方案吗？