我正在制作一个登录脚本,我希望它尽可能安全。问题是,安全似乎是一场永无止境的战斗。因此,从本质上讲,我正在寻求对我的想法的建议和改进。我有一个基于e代币的应用程序,因此只有拥有e代币用户名和密码的用户才能授权工作流,但很有可能一个人可以远程登录和访问系统。虽然我尝试使用IP认证用户,但它不是一个傻瓜式的方法。有没有其他方法可以让我的系统足够健壮以避免欺骗?可以在PHP中捕获MAC地址吗?如果可以,如何捕获?
欢迎任何解决方案。。。
不想这么说,你能做的最好的事情就是捕获他们的IP地址,使用类似的东西http://us1.php.net/gethostbyaddr并找出他们登录的区域。从那里你可以确保这个区域不会有太大的变化。
您将无法确定用户是否通过远程桌面连接到计算机。流量源自正确的IP,因此无法确定它们是否在物理上存在。想象一下一个通过VPN连接到办公室的公司用户。他们可以在世界任何地方,但他们的IP将是办公室的IP。你对此无能为力。此外,如果用户的IP在会话中途发生更改,该怎么办?例如,也许他们可能会从WiFi数据转移到3G数据,甚至他们支持某种形式的负载平衡或代理服务器。
此外,您无法在PHP中捕获设备的MAC地址。
根据提到的IP地址,我认为这是某种形式的基于网络,甚至基于网络的应用程序。要开始,您应该确保使用TLS。如果你用纯文本交流,世界上所有的安全都不会对你有帮助。一旦TLS启动并运行,您应该考虑HSTS,或者如果它不是基于浏览器的门户,则至少可以手动实现相同的功能。