作为一个放在公网的 WEB 程序
如何最大程度的遏制账号分享行为与被盗问题。
(主要还是针对账号分享行为,之所以说最大程度,是因为凡事无绝对,人家登陆账号之后把电脑给别人用这种 谁也没辙,但要想办法增加分享的难度(比如每次都要麻烦账户主人,跟账户主人产生一次或数次的交互过程))
1 、传统的账号密码机制,显然无法实现标题需求,密码被盗或发给别人,那么账号就可以多人使用了,虽然服务端可以限制同一时间账号只能存在一个会话但也无法防范账号被分享的问题。作为互联网程序,也不能实现 IP 限制(什么常用地之类的),不方便,用户体验差。
2 、 U 盾, OTP , RSA 动态令牌等商业方案成本高,即便是采用谷歌的身份验证器实现也存在一个问题,那就是作为密钥的二维码扫描时无法控制对方是否多人同时扫描录入,出现这样的情况,意味着仍然可以多人共用同一个账户。
3 、账号结合短信验证的方式,实现手机绑定,那么想分享给别人用,至少每次也要麻烦手机主人获得验证码才行,这种方式目前比较普遍,但是管理方需要付出短信接口成本。
4 、开发基于网络身份验证授权的 pc 程序绑定主机使用 or 绑定手机的 APP 用以获取访问 WEB 的权限,这种方式的弊端就是涉及到多种平台的软件开发。用户要额外装程序
随便提了几点 求集思广益
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.