问候。
我是一家小型、不断发展的工业协会的网站管理员。很快,我将不得不为该网站实施一个仅限会员的限制版块。
问题在于,我们组织的成员既包括大公司,也包括业余“俱乐部”(这是一个相对较新的行业……)。
显然,这些俱乐部会共享用于登录我们网站的登录 ID。问题在于检测他们的成员是否会与通常不应该访问该网站的人共享登录凭据(对于这样的俱乐部,让所有成员都可以访问该网站并不反对)。
我曾考虑过在每次登录时记录 IP 地址以及所使用的操作系统和浏览器;如果操作系统/浏览器保持不变,并且不同的 IP 地址不超过 10 个,则显然只有极少数不同的计算机使用了该帐户。
但是如果有 50 个操作系统/浏览器组合和 150 个不同的 IP,则凭据显然已经传播很远,然后就会有采取行动的理由,例如修改密码。
当然,被人单方面更改密码是一件非常烦人的事情。所以,针对这个问题,我想到可以让“俱乐部”自己管理子账号列表,这样一旦怀疑有滥用行为,责任人就很容易被追查到,而这个“子会员”就独自面对密码更改的烦恼。
问:这种方法可能存在哪些问题?
答案1
你给自己制造了很多警务工作。我会委派别人去做。
每个组织都指定一名人员负责注册其成员。为他们提供易于使用的工具来完成此操作。注册应记录成员详细信息和成员组织。注册过程应使成员接受使用条款,包括保护和不共享凭证。如果有投诉或滥用证据,请让相关组织的联系人/注册商负责处理。如果组织未能回应,您有权撤销其访问权限全部该组织的成员。
答案2
这也许就是您正在寻找的。