我正在开发一个Meteor应用程序,它实际上允许匿名用户以最小的方式与应用程序交互(是的,我知道这很危险 - 我已经设置了适当的限制和安全强制措施。)< / p>
我做的一件事是使用匿名用户的IP地址(在Meteor方法中使用this.connection.clientAddress)作为标识符来跟踪他们有多少次互动并执行某些限制。
我意识到如果任何数量的匿名用户都在同一个路由器/ WiFi后面,他们都将拥有相同的公共IP地址。
是否可以从客户请求中读取任何其他唯一可识别信息?我注意到this.connection有一个httpHeaders属性,其中可能包含remoteAddress属性。即使remoteAddress也可能不是唯一的,因为可能有多个WiFi网络分配相同的内部IP地址(例如192.168.0.101)。
也许将这两者结合起来会起作用吗?
在查看Meteor方法中的httpHeaders对象时,它看起来像包含x-forwarded-for属性,该属性具有请求的本地IP地址,并且还具有host属性,即本地IP我的Meteor服务器。如果x-forwarded-for始终是客户端的内部IP地址,这可能会有效 - 但这也可能是到达我的Meteor服务器的路径中路由器的IP地址吗?
我假设用户的MAC地址不在我的Meteor服务器的请求中吗?
鉴于此,我能想到的唯一选择是创建某种AnonymousUsers集合,当匿名用户连接并选择保持匿名时,我会创建一个AnonymousUser的实例并将anonymousUser._id保存到用户Session中,并将其用作id用于所有匿名用户的互动。这将与他们保持联系。如果他们刷新,那么他们只会获得一个新的AnonymousUser实例。然后我可以拥有一个经常运行的cron作业,删除与应用程序中任何其他内容无关的AnonymousUser个实例(在应用程序中从未做过任何操作的匿名用户)。
答案 0 :(得分:0)
你可以做到
if ( !Session.get('anonId') ) Session.set('anonId',Random.id());
并将其用作您的标识符。
您还可以使用相同的Random.id()设置Cookie以生成随机字符串,然后假设该用户允许第一方Cookie,则可以持续多次访问。