【问题标题】:How to reliably detect if a user is connecting to a site with a new device?如何可靠地检测用户是否使用新设备连接到站点?
【发布时间】:2015-09-02 17:55:11
【问题描述】:

我有一个要求,即每当注册用户使用新设备/浏览器登录网站时,都要获得电子邮件(或 SMS)验证,类似于 Salesforce 正在做的事情。

目标是减少用户帐户被他人滥用的机会,但同时不应成为对用户的滋扰。

检测请求是否来自新设备的可靠机制是什么?

一种方法是使用 IPAddress,但是当某人的互联网连接获得动态 IP 时,以及移动设备在移动到新位置时将获得新 IP 时,这会导致问题。 具有该设备上所有浏览器(FF/Chrome/IE)的优势,只需一次确认即可获得授权。

另一种方法是使用持久 cookie(没有滑动过期),缺点是必须针对不同的浏览器重复确认。 (虽然这不是一个大问题,因为这不太可能发生)。

第三种选择是上述两者的某种混合解决方案。

我的问题是,是否有公认的机制来做到这一点?检测某人是否正在使用新设备连接到站点的可靠方法是什么(尽管不一定是防弹的)?还有其他建议吗?

【问题讨论】:

    标签: security authentication web


    【解决方案1】:

    我会选择Cookie

    IP 地址通常是共享的。除了通过网络上的浏览器之外,没有其他方法可以识别他们的计算机。

    cookie 值应包括用户名和用户名的 HMAC(也可能是随机数)。

    用户注册或登录成功后,发送设备cookie。如果他们尝试在没有设备 cookie 的情况下登录,他们可能以前没有使用过该浏览器。

    【讨论】:

      猜你喜欢
      • 2020-03-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-05-31
      • 2015-11-06
      • 2018-07-17
      • 2023-03-31
      相关资源
      最近更新 更多