Вспоминая пользователей веб-сайтов

Question

Добрый день,

Я надеюсь, что кто-то сможет мне помочь с концепцией. У меня есть сервер websocket, который выталкивает сообщения JSON пользователям, я закодировал в нескольких функциях администратора для того, чтобы выталкивать трансляции пользователям, а также отключать пользователей, если это необходимо.

Одна из вещей, которые я хотел бы сделать, это придумать «безопасный» способ «запретить» пользователям подключаться к серверу, если это необходимо. Это где я немного потерял, если я иду по маршруту cookie, тогда возможно, что куки очищаются, и он больше не работает, я не могу использовать идентификатор сеанса либо, как только они отключаются, они получают новый идентификатор сеанса, и IP-адрес также проблематичен, поскольку многие из них будут связаны с мобильным динамическим соединением.

Id ценят любые советы о том, как наилучшим образом добиться способа запоминания пользователей, поэтому, если я их запрещу, когда они пойдут на повторное подключение, я смогу их предотвратить.

Сервер, на котором я запущен, является суперсерверным сервером, а клиент - HTML5.

Answer 1

Учитывая ваши текущие ограничения, нет «надежного» способа запретить человеку доступ к вашему веб-сайту.

Для неприкосновенности частной жизни нет постоянного способа идентифицировать данный браузер. Существуют файлы cookie, есть IP-адреса, есть даже некоторые злые «perma-cookies», которые пытаются хранить небольшие фрагменты идентифицирующей информации во многих местах (например, флэш-файлы cookie и другие данные подключаемого модуля), чтобы попытаться сделать это (но не невозможно) для пользователей, чтобы очистить их. Как вы уже знаете, IP-адреса не являются постоянными и не всегда привязаны к одному пользователю.

И, конечно же, пользователь может, конечно, просто использовать другой браузер или компьютер или мобильное устройство.

Таким образом, обычный способ контроля доступа - потребовать от пользователя создания учетной записи в вашей системе, прежде чем они смогут использовать вашу службу. Затем, если вы хотите запретить пользователя, вы запретите эту учетную запись. Поскольку вы хотите запретить пользователю создавать новую учетную запись, вы можете собирать другую идентифицирующую информацию при регистрации учетной записи. Чем больше информации вы запрашиваете и можете проверить, тем труднее для пользователей создавать все больше и больше учетных записей. Это будет довольно немного работать, если вы действительно хотите, чтобы пользователям было сложно создавать больше учетных записей, потому что вам нужно потребовать части идентифицирующей информации, которые вы можете проверить, и трудно для разгромного пользователя дублировать (кредитные карты, адреса электронной почты, домашние адреса и т. д.). Как далеко вы продвигаетесь сюда и сколько усилий вы вкладываете, зависит от вас, насколько вы хотите сохранить запрещенного пользователя.