这是一个创建于 2072 天前的主题,其中的信息可能已经有所发展或是发生改变。
自己的项目,不需要注册,可以领取一串代码作为账号储存在 cookies 中,具有唯一性,因为这个网站不会储存任何用户数据,所以验证用户身份是用这一串随机生成的代码,用户可以随时选择销毁代码,但是我不想用户滥用代码生成来生成一堆没有意义的代码并弃用。
有什么好的建议吗?如用户领取上的限制,后台生成上的限制。
*领取操作用户不需要输入任何内容就可以领取,网站更不会有实名和实人、设备唯一的验证,不储存用户数据(IP 除外,虽然可以伪造)。
有什么好的建议吗?如用户领取上的限制,后台生成上的限制。
*领取操作用户不需要输入任何内容就可以领取,网站更不会有实名和实人、设备唯一的验证,不储存用户数据(IP 除外,虽然可以伪造)。
 | 1 jadec0der 2020-05-08 04:25:55 +08:00 js 代码挖十分钟的矿发一个 token |
 | 3 msg7086 2020-05-08 06:42:26 +08:00 如果领号没有代价,那么领号并废弃就应该是常态。 如果你不想废弃号码,那么必然要给用户一个代价。 你觉得什么代价你能接受,那就用那个代价。 上面的兄弟说挖矿 10 分钟,这就属于代价的一种。出卖个人信息或者付费则是另一种代价。 |
 | 4 iConnect 2020-05-08 07:21:40 +08:00 via Android  1 不管楼主的网站是提供什么服务,除非是公益项目,否则你还是要和用户交换利益,银行有用户所有的真实数据(要用户的数据没有问题,不要滥用、泄露数据才是关键),要用户数据不恶心。你的服务要不要用户数据,用户是看值不值。你要限制领取,想要低付出获换更大流量,要考虑的提高防薅门槛,现在有效的防薅手段都是要核验用户身份的真实唯一。 |
 | 5 Aruforce 2020-05-08 08:15:36 +08:00 via Android 网卡地址?一般没人会整个改网卡的操作吧……… |
 | 6 rioshikelong121 2020-05-08 08:18:29 +08:00 浏览器指纹 答题 |
 | 7 lianyue 2020-05-08 08:28:32 +08:00 via iPhone 敏感操作 google recaptcha 后生成一个 浏览就不用 token 了 比如发帖加上就好了 生成后存到 cookie 里面就好了下次发帖不需要了 |
 | 8 dallaslu 2020-05-08 08:30:21 +08:00 服务器为新用户生成随机串做验证,并存储起来;写一个规则用于定时清理长期没有使用行为的数据就行了。 如果不想存储在服务器,可以把原始随机串和服务器签名存在 cookie 里,服务器只做签名校验(也可以把校验结果缓存一段时间提高速度)。 |
 | 9 liuxey 2020-05-08 08:42:40 +08:00 就算是手机验证码注册,只要你的领的号价值足够有吸引力,大量手机号码池等着领呢,IP 也是一样 更别说 cookie 了,分分钟搞个几万个号,所以请再次思考二楼内容,领的号和付出的代价要对等,至少不能差太多 |
 | 10 XGHeaven 2020-05-08 09:31:43 +08:00 via Android 建议还是接入第三方的账号,否则就不要想太多了 |
 | 11 kaiki OP |
 | 12 verrickt 2020-05-09 02:55:35 +08:00 via Android @kaiki 是 b 岛的开发者吧。提个思路,获取的饼干默认丢 redis,定时清空。只能看,不能回。饼干活跃一段时间后从 redis 放主入数据库。这个活跃可以自行发挥,比如带饼干浏览 x 分钟,满 x 天之类的。 相当于加了个低权限的用户组,设置好提升权限的规则后就定期清除低权限用户。 |
| 14 verrickt 2020-05-09 08:43:53 +08:00 via Android @kaiki 那可能就没什么好办法了。给用户分三六九等本质上是把匿名版无法记录“代价”这个主要矛盾化为了 人与饼干关联,饼干和“代价”关联这种形式。不这么做的话又怎么关联人与“代价”呢? |
 | 15 alan0liang 2020-05-09 12:05:47 +08:00 via Android |
Select Language