目前在考虑将浏览器指纹用户登陆状态校验的一个参数,之前是通过想用户发传递一个token的方式来校验用户的登陆状态,最近的一个项目对安全性要求比较搞,考虑做双因子认证的同时,加上对浏览器的追踪认证,作为一个辅助校验;
校验方式
在用户第一次登陆时,会采集浏览器信息生成指纹,将指纹与账号密码传输至服务器,后返回一个token,同时生成一个6位的安全密码,通过短信的方式发送给用户;
安全加固措施:
1. 检验浏览器指纹,一旦指纹发生变更,将用户踢下线,要求用户重新登陆
2. 双因子校验,随机6位安全码,用户进行操作是需要输入6位安全吗,与指纹信息、接口内容组合后计算MD5作为签名,进行防止调用参数被修改;当浏览器关闭后再次打开用户将至能浏览不能进行任何敏感操作,操作将需要再次输入6位安全码。