如何在身份验证时识别用户的设备 - 如果用户从未知设备登录,则可以强制执行第二因素身份验证(例如 SMS)?我已经看到 google 和 facebook 有这个功能,而且他们没有使用简单的 IP 检查——如果我在同一个网络上有两台设备,它仍然可以检测我是否尝试从未知设备登录。
特别是在网站上——据我所知,我们只能获取用户的 IP 以及 HTTP 标头上的其他信息,但是我们如何安全地识别用户的设备呢?
您可以使用 cookie - 如果用户没有适当的 cookie,那么需要成功的两因素身份验证?
您还可以考虑将浏览器指纹识别与 IP 地址/地理 ip 信息结合使用,以获得更具启发性的方法,尽管实现起来要复杂得多,而且可能更脆弱。