我们正在建立一个基于网络的系统,其中涉及金钱,我们希望避免欺诈实施能够识别发送请求的IOS设备的系统。
这种安全性的原因是因为我们提供资金用于从移动设备执行操作,我们只希望用户获得一次钱,如果我们无法识别设备,用户可以多次执行该操作。 / p>
此唯一标识符可以使用任何HTML,JS,服务器端技术,但不能使用任何本机IOS调用,因为该应用程序是基于Web的,并且它在普通的Safari实例中运行。
唯一标识符不需要是官方 UUID 。
系统不需要像普通的cookie一样更难以作弊。
系统应该在单独的会话中工作,就像用户在一周后回来一样。
欢迎使用基于启发式的系统,也可以使用LocalStorage与Cookie的任意组合......
答案 0 :(得分:1)
在Web应用程序中识别唯一用户/设备的唯一方法是使用Cookie和/或跟踪用户的IP地址。
当然,设备的IP地址会随着所有者的移动而改变,cookie可以被清除/禁用,或者在设定的时间后过期。
让网站访问设备唯一标识符(例如UDID)将是一个巨大的安全风险/隐私入侵。如果你找到这样的方式,我会说你在iOS中发现了一个严重的安全漏洞。
如果您只想触发帐户被怀疑被盗时的电子邮件提醒,您可以使用基于设备类型(用户代理字符串)和geo-ip-lookup的启发式方法来检测用户是否突然更改了设备类型和大陆,并要求用户确认确实如此。我相信这是例如谷歌和Facebook确实如此。