【发布时间】:2015-08-09 08:18:29
【问题描述】:
我正在开发一个 Meteor 应用程序,它实际上允许匿名用户以最小的方式与应用程序交互(是的,我知道这很危险 - 我已经设置了适当的限制和安全措施。)
我正在做的一件事是使用匿名用户的 IP 地址(在 Meteor 方法中使用 this.connection.clientAddress)作为标识符来跟踪他们进行了多少次交互并实施某些限制。
我意识到,如果任意数量的匿名用户在同一个路由器/WiFi 后面,他们都将拥有相同的公共 IP 地址。
是否有任何其他可以从客户请求中读取的唯一可识别信息?我注意到this.connection 有一个httpHeaders 属性,其中可能有一个remoteAddress 属性。即使remoteAddress 也可能不是唯一的,因为可能有多个 WiFi 网络分配相同的内部 IP 地址(例如 192.168.0.101)。
也许将这两者结合起来会起作用?
在查看 Meteor 方法中的 httpHeaders 对象时,它看起来包含一个 x-forwarded-for 属性,该属性具有请求的本地 IP 地址,并且还有一个 host 属性,它是我的 Meteor 服务器的本地 IP。如果x-forwarded-for 始终是客户端的内部 IP 地址,这可能会起作用 - 但这也可能是通往我的 Meteor 服务器的路径中的路由器 IP 地址吧?
我假设用户的 MAC 地址不会出现在进入我的 Meteor 服务器的请求中,对吧?
鉴于此,我能想到的唯一选择是创建某种AnonymousUsers 集合,当匿名用户连接并选择保持匿名时,我将创建AnonymousUser 的实例并保存@987654333 @ 进入用户的Session 并将其用作所有匿名用户交互的id。当他们连接时,这将与他们保持联系。如果他们刷新,那么他们只会得到一个新的AnonymousUser 实例。然后我可以有一个经常运行的 cron 作业,它删除未连接到应用程序中任何其他内容的 AnonymousUser 实例(从未在应用程序中执行任何操作的匿名用户)。
【问题讨论】: