【发布时间】:2015-09-02 17:55:11
【问题描述】:
我有一个要求,即每当注册用户使用新设备/浏览器登录网站时,都要获得电子邮件(或 SMS)验证,类似于 Salesforce 正在做的事情。
目标是减少用户帐户被他人滥用的机会,但同时不应成为对用户的滋扰。
检测请求是否来自新设备的可靠机制是什么?
一种方法是使用 IPAddress,但是当某人的互联网连接获得动态 IP 时,以及移动设备在移动到新位置时将获得新 IP 时,这会导致问题。 具有该设备上所有浏览器(FF/Chrome/IE)的优势,只需一次确认即可获得授权。
另一种方法是使用持久 cookie(没有滑动过期),缺点是必须针对不同的浏览器重复确认。 (虽然这不是一个大问题,因为这不太可能发生)。
第三种选择是上述两者的某种混合解决方案。
我的问题是,是否有公认的机制来做到这一点?检测某人是否正在使用新设备连接到站点的可靠方法是什么(尽管不一定是防弹的)?还有其他建议吗?
【问题讨论】:
标签: security authentication web