SAAS на место аутентификации

Question

Наша компания делает веб-приложение по цене за рабочую станцию.

Это означает, что учетные данные пользователя / пароля должны использоваться только с одного конкретного компьютера.

В настоящее время происходит то, что несколько пользователей совместно используют учетные данные, и у нас нет никакого способа предотвратить это, если они не делают это одновременно.

Характер приложения таков, что пользователю необходимо использовать его время от времени, поэтому невозможность одновременной работы не сильно беспокоит пользователей, и компания теряет свои возможные доходы.

Приложение в настоящее время является чисто AJAX без апплетов flash / activeX / Java.

Идеальным решением было бы прочитать имя компьютера или IP-адрес клиента с помощью javascript, используя интерфейс сценариев «Shell.Network».

Но это невозможно из-за строгих настроек безопасности в Internet Explorer. Я должен упомянуть, что кросс-браузерная функциональность не имеет значения, и единственным поддерживаемым браузером является IE.

Поиск в Google Я наткнулся на это решение здесь http://www.reglos.de/myaddress/MyAddress.html, но для этого требуется JAVA-апплет, так что это не очень удобно.

Есть ли другие решения для этого?

Answer 1

Ваша модель лицензирования не соответствует модели доставки. Измените одну из них.

Answer 2

Установить куки на машину с идентификатором. Получайте cookie каждый раз, когда пользователь входит в систему. Если вы видите, что несколько разных cookie чередуются для одного пользователя, вы знаете, что происходит что-то странное.

(Конечно, один переключатель может означать, что они перешли на новый ПК как один.)

В качестве альтернативы, цена за использование, «запрос» или какой-либо другой элемент.

Answer 3

Отслеживание сессий на пользователя. Не разрешайте несколько сеансов одному пользователю. Для этого вам необходимо сохранить идентификатор сеанса в базе данных и проверять каждый раз, когда пользователь входит в систему.

Чтобы помочь пользователям, у которых время от времени происходит сбой браузера и перезагружаться с новым сеансом, разрешите им выйти из предыдущего сеанса ... чтобы можно было прервать старый сеанс и вместо этого зарегистрировать новый.

Надеюсь, это полезно.

Answer 4

Этот вид злоупотребления, вероятно, может быть умеренно эффективно обнаружен с использованием техники Cookie, предложенной RichH. По крайней мере, явное злоупотребление может быть обнаружено довольно легко (скажем, 10 лицензированных пользователей, 100 реальных пользователей).

Но, конечно, не блокируйте пользователя, просто следите за ситуацией и попросите, чтобы ваши продавцы позвонили и предложили купить больше лицензий.

Мы делаем то же самое (с точки зрения лицензирования и доставки), и я уверен, что у вас есть веские деловые причины не менять свою модель.

Answer 5

Нет простого ответа, поскольку ваши клиенты (программное обеспечение) фактически анонимны, а пользователи идентифицируют себя.

Для IE, «блокирующего вас» (я вряд ли эксперт по IE), но нельзя ли установить настройки IE для определенных доменов? Вы можете просто установить требование, чтобы пользователи настраивали свои браузеры, чтобы предоставить вашему приложению превосходный доступ.

Я не вижу причин, по которым у вас не может быть определенных требований к браузеру пользователей (т. Е. Только IE 6/7/8, эти настройки безопасности и т. Д.).