我想问你: 想象一下,您有一个网站,并且有一些额外的内容供注册会员支付月费。如何确保某些朋友群体不仅仅使用一个可以访问所有内容的注册用户帐户?我在考虑可能存储IP,但使用动态IP的用户呢?也许短信认证是正确的方式,但这需要花钱,这对用户来说很烦人。我不知道。有任何想法吗?我在Zend Framework中使用PHP。
谢谢你, 吨。
答案 0 :(得分:1)
您可以强制每个帐户在任何给定时间都不要有多个打开的会话。
会话应该通过仅在https中存储和检索的cookie来识别,并且如果在某个合理的时间(例如,15分钟)之后没有被某些活动保持活动,它应该超时,以便移除的用户或者丢失cookie而没有明确注销以便能够再次登录(并且出于安全原因)。你不能依赖cookie来超时,但这已经很清楚了。
当然,这不会阻止多个用户对帐户进行“分时”使用,但这种用法通常不是真正的问题。如果您需要麻烦的登录程序,许多优秀的客户可能会逃跑。你应该容忍一小部分的滥用行为。
我也同意Darwindeeds在你的问题评论中写的所有内容。
答案 1 :(得分:0)
您可以实现Steam登录的工作原理。 如果您尝试从任何其他计算机访问,它将向您注册的电子邮件发送验证码,一旦您输入,您就可以登录,请确保没有在共享的电子邮件帐户。