我正在开发一个 Meteor 应用程序,它实际上允许匿名用户以最少的方式与应用程序交互(是的,我知道这很危险 - 我已经设置了适当的限制和安全措施。)
我做的一件事是使用匿名用户的 IP 地址(在 Meteor 方法中使用 this.connection.clientAddress)作为标识符来跟踪他们进行了多少次交互并实现了某些限制。
我意识到,如果任何数量的匿名用户在同一个路由器/WiFi 后面,他们都将拥有相同的公共(public) IP 地址。
是否有任何其他可以从客户端请求中读取的唯一身份信息?我注意到 this.connection 有一个 httpHeaders 属性,其中可能有一个 remoteAddress 属性。即使是 remoteAddress 也可能不是唯一的,因为可能有多个 WiFi 网络分配相同的内部 IP 地址(例如 192.168.0.101)。
也许将这两者结合起来会起作用吗?
在 Meteor 方法中查看 httpHeaders 对象时,它看起来包含一个 x-forwarded-for 属性,该属性具有请求的本地 IP 地址以及一个 host 属性是我的 Meteor 服务器的本地 IP。如果 x-forwarded-for 始终是客户端的内部 IP 地址,这可能会起作用——但这也可能是通往我的 Meteor 服务器的路径中路由器的 IP 地址,对吗?
我假设用户的 MAC 地址不会出现在进入我的 Meteor 服务器的请求中,对吗?
鉴于此,我能想到的唯一选择是创建某种AnonymousUsers 集合,当匿名用户连接并选择保持匿名时,我会创建一个实例>AnonymousUser 并将 anonymousUser._id 保存到用户的 Session 中,并将其用作所有匿名用户交互的 id。当他们连接时,这将留在他们身边。如果他们刷新,那么他们只会得到一个新的 AnonymousUser 实例。然后我可以有一个经常运行的 cron 作业,它删除未连接到应用程序中任何其他内容的 AnonymousUser 实例(从未在应用程序中执行任何操作的匿名用户)。
最佳答案
你可以做到
if ( !Session.get('anonId') ) Session.set('anonId',Random.id());
并将其用作您的标识符。
您还可以使用相同的 Random.id() 设置一个 cookie 以生成一个随机字符串,然后假设该用户允许第一方 cookie,该字符串可以持续多次访问。
docs .
关于http - 除了来自 Meteor 客户端请求的 IP 地址之外,还有其他唯一标识符吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31898812/