У нас есть бизнес-веб-приложение, в которое пользователи могут входить из разных мест. Планшеты, офисные ПК и некоторые специальные стационарные рабочие места.
Если пользователь входит в систему с этих специальных стационарных терминалов, доступны дополнительные функции.
Как мы можем безопасно определить, использует ли пользователь одно из эти терминалы?
IP-адреса невозможны, поскольку сети сегментированы, и мы не контролируем маршрутизатор (мы не можем гарантировать, что X-Forwarded-For присутствует).
Мы подумали о клиентских сертификатах , которые потребовали бы административных накладных расходов (обновляйте время от времени). Кроме того, мое исследование показывает, что сертификаты не могут быть переданы через все прокси.
Мы считали токены в локальном хранилище или сохранялись как cookie настолько небезопасно, насколько могут просто скопируйте их и используйте в своем браузере. Кроме того, пользователь, удаляющий кеш браузера, может вызвать дополнительную работу для администратора.
Есть ли другие варианты? У нас есть полный контроль над этими терминалами.