使用场景,基于 BS 的架构,只能特定的电脑才能登陆。
1
tanranran 2018-04-27 17:56:17 +08:00
同求+1
|
2
rrfeng 2018-04-27 18:00:01 +08:00 via Android
浏览器指纹了解一下。
其实绝对上是不可能的,做客户端吧。 或者,认证客户端蜜密钥,加 USB key |
3
ReVanTis 2018-04-27 18:04:54 +08:00 1
我们最近做的一个方案是把 pc 的一些硬件特征隐含在证书里,提交到服务器上签署以后放到 Yubikey 里,由 Yubikey 认证 pc 来登陆。
如果 pc 可以伪造这些硬件特征就没办法了,不过至少 Yubikey 不能伪造。 |
4
Shura 2018-04-27 18:11:37 +08:00 1
如果数量少,服务器部署 KDC(key distribution center),然后给每个客户端都分发一个唯一的密钥。用对称加密或非对称加密都行。
|
5
honeycomb 2018-04-27 18:18:59 +08:00 via Android 1
Fido u2f,目前 chrome,Firefox 都支持。
如果不需要使用标准 API 的,看 @ReVanTis 的 |
6
ReVanTis 2018-04-27 18:26:47 +08:00
|
8
eric 2018-04-27 19:20:55 +08:00
Mutual TLS
|
9
foobar2000 2018-04-27 19:24:11 +08:00 via iPhone
虚拟机破解之
|
10
PHPer233 2018-04-27 19:29:03 +08:00 via iPhone
楼主所说的特定电脑的 IP 地址是固定的吗?如果是固定的可以限制 IP
|
11
kevinle OP @PHPer233 想过这个方案,通过 IP 限制,但客户端 IP 不固定,有想过客户端设置一个 DDNS 反向过去。
|
13
kevinle OP |
14
rrfeng 2018-04-29 16:16:40 +08:00
usb key 锁住。
如果说你控制不了硬件本体,那绝无可能指定硬件。 |
15
nciyuan 2018-04-29 20:57:50 +08:00 via Android
数字证书呀,或者 GA 那种动态密码的加密狗
|