1

我是一个小型的、不断发展的行业协会的网站管理员。很快,我将不得不为网站实施一个受限的、仅限会员的部分。

问题是我们的组织成员既包括大公司也包括业余“俱乐部”(这是一个相对较新的行业……)。

很明显,这些俱乐部将共享他们将用于登录我们网站的登录 ID。问题是检测他们的成员是否会与通常不应该访问该网站的人共享登录凭据(不反对这样的俱乐部让其所有成员都访问该网站)。

我考虑过在每次登录时记录 IP 地址以及所使用的操作系统和浏览器;如果操作系统/浏览器保持不变并且不超过 10 个不同的 IP 地址,则该帐户显然被极少数不同的计算机使用。

但是,如果有 50 个 OS/Browser 组合和 150 个不同的 IP,则凭据显然已经传播得很远,然后就会有采取行动的理由,例如修改密码。

当然,当您的密码被单方面更改时,这是非常烦人的。所以,对于这个问题,我考虑让“俱乐部”管理自己的子账号列表,所以如果怀疑滥用,责任用户很容易被牵制,仅这个“子会员”就可以面对密码更改的烦恼。

问题:使用这种方法会有哪些潜在问题?

4

1 回答 1

1

为什么你不能强迫每个俱乐部成员注册(只是直截了当,不一定作为一个子或类似的复杂结构)有什么特别的原因吗?也许在用户注册时给每个俱乐部一些代码,以便您可以自动创建他们的帐户并将他们与俱乐部关联,但是您可以直接记录每个成员,而无需俱乐部必须自行管理繁琐的过程。然后更容易确定给定帐户是否正在传播(给定时间段内的不同 IP 访问)。

显然,如果您愿意,您还可以设置每个俱乐部的附属账户数量限制。我想这基本上是您所建议的,但如果可能的话,我会尽量避免您的用户掌握任何繁重的管理任务。如果您可以管理俱乐部附属的注册,您应该,而不是强迫俱乐部中的某个人为您管理它们。

此外,虽然某种基于 IP 和凭据的启发式方法可能很好,但我会远离合并用户代理,或者至少过于关心它。从同一个 IP 看到几个不同的 UA——我想这取决于你预期的用户群——并没有那么不寻常。由于网站错误等原因,我在一天中使用了多个浏览器,除非有人使用机器作为代理,否则这不是任何邪恶的证据。

于 2009-11-18T06:03:14.053 回答