我正在提高网站的安全性,因为我的一些用户 质疑安全性,但我只能说没有人可以查看你的 密码(使用 SHA-512 和 md5 进行双重哈希处理),但他们回复了,但是如果他们进入我的帐户怎么办? 可以更改我的密码并使用我的帐户。
所以我要加强我的安全性,就像 Steam 的安全性一样,你无法登录到 新计算机,他们不会向您发送随 secret 钥。我正在尝试想出一种方法来做到这一点,所以我已经得到了它,因此它将在我的数据库中存储一个小数组,该数组将包含用户登录的所有计算机。
但是我需要一些数据,以便我的脚本可以检查它,但我不太确定什么数据,我正在考虑 IP 地址,但如果没有外部源,您就无法获取它,例如 whats my ip 和其他类似的网站。我需要一些不会因同一浏览器/计算机而改变的数据。
所以问题是,我需要一些他/她正在使用的浏览器特有的数据,但如果他/她使用不同的计算机或浏览器,这些数据确实会发生变化。
最佳答案
可以在 IP 级别的 Web 应用程序中实现一些安全性。事实上,例如,在我工作的公司中,只能从公司网络中连接的设备(给定的 IP 地址范围)使用“管理员”帐户登录。
如果您想为每个用户实现此技术,您将遇到很多问题,因为您的用户可能位于某个代理服务器后面,即在每次登录或在给定的时间间隔内更改其 IP 地址。
它们是不同的types代理,您可以检测用户何时使用其中一些代理,然后检索用户的真实 IP 地址 - 检查此 HTTP header :HTTP_X_FORWARDED_FOR, HTTP_VIA AND REMOTE_ADDR EXPLAINED更具体的是X-Forwarded-For一个。
无论如何,它们有很多隐藏 IP 地址的技术,例如代理服务器和 HideMyAss 等应用程序。这使得整个事情变得非常简单。
无论如何,即使您的用户向您发送一组特定的电子邮件地址,您也将其存储在数据库中,并检查用户是否使用它们连接到您的应用程序,使用您的帐户(如密码)也有同样的滥用可能性)再次面临。 IP 地址将只是数据库表中的另一个字段。因此,如果任何人可以更改密码,他也许能够将其他新 IP 添加到您正在检查的 IP 列表中。
我认为最好的做法是仅为您的管理员帐户实现此类 IP 安全。然后,您和您的客户就会放心,没有人可以加入它并更改他们的密码。
关于php - 从浏览器获取唯一标识符,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13107303/