如何避免用户删除他的会话

Question

用例

目前，我正在尝试构建一个用户可以对内容进行投票的页面（up/downvote，类似于 StackExchange 网络上的功能）。但是用户不需要注册自己就可以对内容进行投票。所以这将是一种“匿名”投票页面。它是用 Laravel5 构建的，并使用 MySQL 数据库来存储投票。用户会话存储在平面文件中，但也可以存储在数据库表中（L5 在这里非常灵活）。

---

问题

如何使其安全？。

我在用户会话中存储限制和已投票的内容，例如当用户对内容 XYZ 进行了投票时（因此用户暂时无法再次对特定内容进行投票）。这些限制是基于时间的，主要是 24 到 48 小时。这很好用，只要用户不丢弃/删除他的 cookie，这将导致创建新会话并取消时间限制，这可能导致容易的投票欺诈。

那么，如何避免用户“丢失”他的会话？ 重点是如何让每个“匿名”用户的限制和限制持续存在！匿名投票时无法避免共享 PC 或在不同地点投票，但需要通过给定的解决方案避免“botting”或大量投票欺诈。

---

解决方案尝试

将每个用户会话的 sessionId 设置为 IP 和 用户代理

我已经询问了有关此尝试的问题（链接如下），但它会引发更多问题然后解决（例如简单的会话欺骗）。另外，我无法使用 Laravel5 手动设置 sessionID。

---

不适合的解决方案

• 让每个用户自己注册（在我的用例中，这对每个用户来说都太费力了）

---

相关

• How to remember an anonymous vote
• Retrieve or reassign user session from ip and user-agent

Answer 1

由于用户没有被存储和维护，这非常困难，并且不能 100% 确定。

我如何尝试最接近地实现这一点是使用请求 ip 地址和 csrf 令牌。 你可以从你的 laravel 应用程序中的任何地方从请求和csrf_token() 中获取 IP 地址。

这是我将如何实现的示例

创建一个名为 votes 的表，包含以下字段

• votable_type
• votable_id
• ip_address
• csrf_token

我会检查客户是否没有相同的可投票类型和 ID 的现有记录。客户端是一个 csrf_token。 ip用于保证请求是否合法。

votable type和id是多态关系，可以是cmets、posts等。

注意

无论如何，如果没有持久的用户标识，一些用户可能不会投票，或者有些用户可能会投票两次。做不到 完美。

• 某些用户可能会从不同的用户代理多次投票 次。
• 某些用户可能会欺骗 ip。清除 cookie
• 不同的用户可能使用相同的 系统登录。
• 某些用户可能使用不同的连接或 系统登录。

所以要么我们获取任何信息，它就不会是 100% 准确。

Answer 2

我的解决方案是结合实现evercookie 为每个用户分配一个“标识 Cookie”detecting privacy browsing 并在启用隐身模式或隐私浏览时限制访问，最后在不启用时限制几个操作（在我的情况下投票）拥有evercookie。