我是一个不断发展的小型工业协会的网站管理员。很快,我将不得不为该网站实施受限制的,仅限会员的部分。
问题在于我们的组织会员资格包括大公司以及业余“俱乐部”(这是一个相对较新的行业......)。
很明显,这些俱乐部将共享他们用于登录我们网站的登录ID。问题是检测他们的一个成员是否会与通常不会访问该网站的人共享登录凭据(没有人反对这样的俱乐部让所有成员进入网站)。
我考虑过登录每个登录IP地址以及使用的操作系统和浏览器;如果操作系统/浏览器保持不变并且不超过10个不同的IP地址,那么很少有不同的计算机可以清楚地使用该帐户。
但是如果有50个OS /浏览器组合和150个不同的IP,那么凭证显然已经传播得很远,然后就会有动作,例如修改密码。
当然,当您的密码被单方面更改时,这非常烦人。因此,对于这个问题,我考虑允许“俱乐部”管理他们自己的子帐户列表,因此如果怀疑滥用,负责的用户将很容易被钉住,并且这个“子会员”单独会面对密码更改的烦恼。
问题: 使用这种方法会有什么潜在的问题?
答案 0 :(得分:1)
你不能强迫每个俱乐部会员注册的任何特殊原因(只是直接注册,不一定是子网或类似的复杂结构)?也许给每个俱乐部提供一些代码,以便在用户注册时使用,这样您就可以自动创建他们的账户并将其与俱乐部联系在一起,但是您可以直接计算每个成员,而无需俱乐部自己管理的繁重流程。然后,更容易确定给定的帐户是否正在传播(在给定的时间段内不同的IP访问)。
显然,如果您愿意,您还可以设置每个俱乐部的关联帐户数量限制。我想这基本上就是你所建议的,但如果可能的话,我会尝试将任何繁重的管理任务交给你的用户。如果您可以管理俱乐部附属的注册,您应该,而不是强迫俱乐部的某个人为您管理。
此外,虽然基于IP和凭据的某种启发式方法可能很好,但我会远离合并用户代理,或者至少关心它。从同一个IP中看到几个不同的UA - 取决于您期望的用户群,我想 - 并不是那么不寻常。由于网站漏洞等原因,我在一天中使用了几个浏览器,除非有人使用机器作为代理,否则它不是任何邪恶的证据。