问题标签 [user-identification]

我想做一个网络应用程序，您可以在其中与其他用户交互，但我不希望用户使用登录名和密码（如BrowserQuest）注册。

然后，我想使用一个随机数存储在本地存储中的变量。但我认为这不安全，因为如果有人分析我的代码，查看名称存储在哪个变量中，然后在 URL 中写入：

他可以窃取他的帐户。

然后我想到了每个 iPhone/iPod/iPad 的唯一 ID。但是在 javascript 中，我们无法访问它：Get iphone ID in web app。也有IP，但是不靠谱。还有cookies，但在这里，用户也可以使用注入。

在我的 webapp 中识别用户的最佳方式是什么？

因此，我一直在使用 Meteor 观察到的一个更令人困惑的方面是每次刷新都会清除会话。由于它不是一个持久存储，我应该把用户 ID 之类的东西放在哪里，或者人们在我的应用程序的状态机中的什么位置？

这些场景的模式是什么？

我需要开发一个网页，它会自动识别“授权用户”，并且只有在完成肯定识别后才会继续。因为它是手机，我不想要任何“标准”的登录页面。出于某种原因，我不想要任何 cookie。因此，我正在考虑一个本地文件，授权用户将其复制到本地存储上，JavaScript 验证该文件并将请求发送回服务器。不幸的是，我还没有发现任何这样的可能性。所以，我在考虑本地 JS 文件，初始页面会重定向到本地文件，如果存在，它将 Web 浏览器重定向到适当的服务器位置。不幸的是，我发现一篇文章说出于安全原因，无法在 http:// 和 file:// 之间进行重定向。你们中有人知道如何进行识别任务吗？

我正在尝试了解 AD 架构扩展，我遇到了那些 2. 到底有什么区别？它们相互包含吗？

谢谢。

我想知道如何在整个模块中执行访问控制。让我解释一下：如果我有一个仅用于创建会话的模块（/authentication/）。还有一个包含主应用程序的模块（/Main/）。

如果用户正确创建了会话，我想要做的是检查主模块上的任何请求。

在我对互联网的研究中，我看到了一种方法。我不确定，所以请告诉我我的解决方案是否良好：我将在我的引导函数（在 module.php 上）中实现一个事件，该事件将检查会话是否正确创建。如果不是，我将重定向到模块身份验证。

你觉得这个解决方案怎么样？

不幸的是，这个解决方案并不好。我不知道为什么，但似乎即使在模块身份验证中也会执行此代码。因此，在第一次调用时，当您尝试进入 url:/main 时，您将被重定向到模块 /authentication 并且代码将再次被重新执行，并且模块会将您重定向到 /authentication 并一次又一次地再次...

所以我认为解决方案是检查请求的 url 是否与这个 /authentication 不同。

这该怎么做 ？

希望我的问题清晰易懂。

谢谢你=D

让我们切入正题：

我在一个社交/个人网站上工作，如果他们违反规则，我需要能够禁止用户访问它。

我知道如果他们被禁止，我可以通过 IP 地址识别用户以阻止他们，但是如果他们有像我这样的动态 IP 地址怎么办？

获取浏览器（）？大多数电脑和手机都有不止一种网络浏览器。

那么代理呢？

有什么方法可以用永不改变的东西一遍又一遍地识别同一个用户？我的意思是，不久前我想我可以做点什么来解决这个问题。我在想：

这仍然是一个过于广泛的搜索。我可以通过这样的搜索一次阻止多个人。

像 Twitter 和 Facebook 这样的大网站是如何做到这一点的？到目前为止，这对我来说绝对是一场噩梦。

IP地址不应该像抽奖券吗？没有2个是一样的吗？如果这是真的，我也许可以解决一些问题。

除此之外，我被困住了。有什么建议么？

有几种方法可以识别设备 - IMEI/IMSI/ESN、GoogleID、您自己的加密 GUID、保存在私人商店等。但只要人们每 3-6 个月更换一次设备，重要的是不要识别设备，而是识别设备正是用户。

我们知道 Google 使用唯一 ID 来识别用户（电子邮件）以允许在 Google Play 等上进行购买。此外，我们知道 Google 拒绝开发人员访问此 ID，将其保存并用于垃圾邮件等。实际上，现在我们可以使用 Account Manager 获取它，至少其中一个。至少我不知道如何区分哪个帐户处于活动状态并用于购买我的应用程序。

在 Widows Phone 中，我看到了一种明智的方法：系统为开发人员提供了一些来自用户帐户 ID/电子邮件的哈希值。因此，除了识别您的用户外，您无能为力。正是我想做的！即使有人偷了这个 ID，他也不能将其用作电子邮件或其他任何东西。

所以我搜索类似的东西。我仍然没有找到关于如何安全地识别用户的明确信息。有很多帖子，很多意见，但仍然没有清晰易懂的方法。

到目前为止，在 IAP 安全方案中，我想在设备上获取所有谷歌账户，并在我的或谷歌服务器上记住它们的双 md5 以进行特定的购买/订单号。稍后，当我的应用程序的任何实例将请求此购买时，发送其所有者 google-id 的双 md5，服务器将比较它为该特定购买/order_no 记住的至少一个帐户是否等于该 ID，然后将适当地回答。

但也许有更明确的方案？

我在Mac OS&上工作Qt，我想复制文件（使用自制功能），/Library/Frameworks但每次复制都失败。问题来自识别，但我不知道如何解决它。

这是我的复制功能，在复制到家时可以完美地工作（例如）

我是mongodb数据库新手。实现一个函数来制作uid和使用本地ObjectId. 哪个更好？

Why do vendors who provide FIX protocol connectivity require a static IP address? Is the only reason user identification/validation? Or is there any other reason behind that?

Thanks