V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kevinle
V2EX  ›  浏览器

如何基于浏览器认证客户端的唯一性。

  •  
  •   kevinle · 2018-04-27 17:23:01 +08:00 · 4388 次点击
    这是一个创建于 2383 天前的主题,其中的信息可能已经有所发展或是发生改变。

    使用场景,基于 BS 的架构,只能特定的电脑才能登陆。

    16 条回复    2018-05-01 12:37:23 +08:00
    tanranran
        1
    tanranran  
       2018-04-27 17:56:17 +08:00
    同求+1
    rrfeng
        2
    rrfeng  
       2018-04-27 18:00:01 +08:00 via Android
    浏览器指纹了解一下。

    其实绝对上是不可能的,做客户端吧。
    或者,认证客户端蜜密钥,加 USB key
    ReVanTis
        3
    ReVanTis  
       2018-04-27 18:04:54 +08:00   ❤️ 1
    我们最近做的一个方案是把 pc 的一些硬件特征隐含在证书里,提交到服务器上签署以后放到 Yubikey 里,由 Yubikey 认证 pc 来登陆。
    如果 pc 可以伪造这些硬件特征就没办法了,不过至少 Yubikey 不能伪造。
    Shura
        4
    Shura  
       2018-04-27 18:11:37 +08:00   ❤️ 1
    如果数量少,服务器部署 KDC(key distribution center),然后给每个客户端都分发一个唯一的密钥。用对称加密或非对称加密都行。
    honeycomb
        5
    honeycomb  
       2018-04-27 18:18:59 +08:00 via Android   ❤️ 1
    Fido u2f,目前 chrome,Firefox 都支持。
    如果不需要使用标准 API 的,看 @ReVanTis
    ReVanTis
        6
    ReVanTis  
       2018-04-27 18:26:47 +08:00
    @honeycomb
    我们似乎是用 ccid 的接口做的,python c/s 的。
    只是提供一种思路,具体的技术应该有很多选择。
    honeycomb
        7
    honeycomb  
       2018-04-27 18:28:32 +08:00 via Android
    @ReVanTis webusb 可能就是靠 ccid 实现的?
    eric
        8
    eric  
       2018-04-27 19:20:55 +08:00
    Mutual TLS
    foobar2000
        9
    foobar2000  
       2018-04-27 19:24:11 +08:00 via iPhone
    虚拟机破解之
    PHPer233
        10
    PHPer233  
       2018-04-27 19:29:03 +08:00 via iPhone
    楼主所说的特定电脑的 IP 地址是固定的吗?如果是固定的可以限制 IP
    kevinle
        11
    kevinle  
    OP
       2018-04-29 12:29:31 +08:00
    @PHPer233 想过这个方案,通过 IP 限制,但客户端 IP 不固定,有想过客户端设置一个 DDNS 反向过去。
    kevinle
        12
    kevinle  
    OP
       2018-04-29 12:30:48 +08:00
    @rrfeng 浏览器指纹不可行,需要唯一性,USB KEY 可带走,也不可行。
    需要的是特定的电脑才可以登录。
    kevinle
        13
    kevinle  
    OP
       2018-04-29 12:36:52 +08:00
    @ReVanTis
    @honeycomb
    @Shura
    感谢,了解学习一下。主要目的是只能特定的电脑访问,而不是特定的人访问。
    rrfeng
        14
    rrfeng  
       2018-04-29 16:16:40 +08:00
    usb key 锁住。

    如果说你控制不了硬件本体,那绝无可能指定硬件。
    nciyuan
        15
    nciyuan  
       2018-04-29 20:57:50 +08:00 via Android
    数字证书呀,或者 GA 那种动态密码的加密狗
    kevinle
        16
    kevinle  
    OP
       2018-05-01 12:37:23 +08:00
    @rrfeng 是想实现只能特定的电脑访问,比如只能公司的电脑可以访问,但家里的电脑不能访问。USB KEY 可以带走,不能锁定电脑。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5531 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:35 · PVG 16:35 · LAX 00:35 · JFK 03:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.