防止多臺設備同時登錄到一個用戶帳戶

Question

我有一個功能驗證，ACL和會話管理系統爲我的在線軟件應用程序。由於這是每個用戶帳戶的付費服務，因此我需要確保用戶帳戶不能與PayPal管理業務帳戶的方式在員工之間共享。

我的努力是找到一種方法來實現這樣的功能，勝任的技術用戶無法通過修改Javascript或使用客戶端代理來規避。

目前，每個公司帳戶都在我的服務器上有一個「會話」表，由session_id (PK), session_user, session_data, client_ip, timestamp_created和timestamp_updated列組成。無論用戶何時登錄，session_user列都將使用其登錄名進行更新。如果其他人在另一臺計算機上登錄該帳戶，以前訪問過的帳戶將會將session_user列設置爲NULL。結果是，對於session_user，沒有兩行應該具有相同的值。可能值得注意的是，客戶沒有對其數據庫的管理訪問權限。

客戶端應用程序每5秒對定時器運行一個Javascript函數，該函數執行對Zend控制器的AJAX調用。該控制器通過使用Zend_Session::getId();的DB查詢來檢查session_user列中的活動會話。此方法echo的與success一個JSON編碼的響應設定爲TRUE如果session_id在數據庫中具有相關聯的session_user，或FALSE如果在session_user列中沒有值。如果該方法返回FALSE，則Javascript函數繼續提醒用戶另一臺計算機已登錄其帳戶，然後將其重定向到登錄頁面。

這種方法的問題在於，任何有Chrome瀏覽器或Mozilla FireBug經驗的人都可以刪除執行AJAX調用的Javascript，並繼續在衆多機器上使用該應用程序。更糟糕的是，這種簡單的方法只是脆弱性的開始。

我有一種感覺，我需要查看Zend的插件架構，可能在preDispatch()期間執行檢查以確保當前session_id的值已在相應的session_user表中設置。這個檢查對我目前的結構是免費的，因爲我覺得我的大部分用戶本身並不熟悉基本的「黑客行爲」，並且會發現阻止賬戶分享。如果此服務器端檢查失敗（如請求資源時發生的那樣），則可能會拋出錯誤，並且所請求的數據不會推送到前端（例如查看產品的數據）。

這種方法看起來是否會起作用，還是有更好的方法來實現這種功能？我讀過一堆SO帖子，這些帖子讓人討厭關於在最終用戶上如此繁瑣是否是個好主意的爭論。我們已經決定，由於收入主要基於購買額外用戶帳戶的公司帳戶，因此需要防止任何類型的帳戶分享。防止用戶使用現有會話登錄帳戶是我想要避免的。信不信由你，我寧願讓用戶因被其他設備登錄而從他們的活動會話中啓動而感到惱火，因爲我認爲這將鼓勵購買額外的用戶許可證。

請隨時詢問您是否需要任何其他信息，或者需要澄清我在帖子中描述的任何內容。

Answer 1

1. 使用$_SERVER['REMOTE_ADDR']作爲數據庫條目，每次在您的網站上執行操作時，都會存儲用戶的IP。
2. 檢查的IP曾與會話數據改變從以前的條目 - 如果是這樣，他們註銷並重新登錄

這種方式，不同的設備不能兼任，而無需重新登錄作爲結果。