问题。
网站(例如 Netflix)如何实现“只允许 2 台设备同时登录”等功能?
我的理解。
数据库中的用户表会有一个“logon_count”列。 session 表记录了 session ID、用户名、上次操作等。
将根据用户在访问 URL 时可以提供的内容执行多层检查以匹配 session cookie 或登录计数或清除空闲 session 。
但是。
假设用户想要绕过验证机制。正常登录,以某种方式记录有效的 cookie 并将其分发/复制到多个设备上。为所有人提供免费 Netflix。
当源 ip 不可靠并且可以伪造 HTTP header 时,服务器端代码如何判断每个 session 是否来自唯一设备,从而强制执行并发登录限制?
干杯, 拉尔夫
最佳答案
不管 Netflix 如何实现这个解决方案,让我们更抽象地考虑这种问题的一般解决方案。
首先,您需要能够将所谓的 session (主要用于保留用户应用程序状态)与在用户玩游戏时对用户进行身份验证的机制区分开来视频。当然,如果服务器只是将客户端提供的 session cookie 直接关联到设备,那么整个解决方案就会分崩离析,因为正如您推断的那样,我们可以轻松地将 cookie 复制到另一个客户端。
以更一般的方式解决这个问题有两个要求。
登录 Netflix 本身没有实际意义,因为那是一个应用程序状态。这是一个完全不同的问题。您已经清楚地知道如何解决该问题。用户实际请求播放视频时的身份验证是您要问的另一个问题。
这需要一些不能被多个客户端重复使用的东西,因此它可以实现为 nonce .这是一个只能使用一次的加密 token 。
假设用户分块下载视频(30 秒缓冲区)。每次请求服务器下载一个视频 block 时,服务器都需要来自客户端的 token (这是不能重复使用的随机数),并在服务器端验证它。如果它 checkout ,它会将视频 block 连同一个新 token 发送回客户端。这可以在整个视频持续时间内继续发生。这样一来,如果另一个客户端要复制此 token 并尝试将其发送到服务器,服务器将不会接受任何具有相同 token 的 future 请求,理论上这可以防止多个设备访问多个视频(来自同一帐户) 同时。
为了演示,让我们假设用户像这样登录到您的应用程序。
session_start();
if ($user->authenticate($username, $passwrod)) {
$_SESSION['user_id'] = $user->id;
}
这为您的应用程序提供了一种在 HTTP 请求之间保留客户端状态的方法,这很好。然而,当用户要求播放视频时,必须发生其他事情来生成随机数。
$nonce = base64_encode(random_bytes(128));
$_SESSION["nonce"][$nonce] = false;
echo json_encode(["buffer" => $videoBufferData, "token" => $nonce]);
让我们想象一下,此代码发送一些 API 响应,为用户提供 30 秒视频缓冲区作为有效负载和 JSON 响应中的 token 。当用户请求下一个 30 秒缓冲区时,它必须与存储在 session 中的 token 匹配。
if (empty($_SESSION["nonce"][$_POST["token"]])) {
$_SESSION["nonce"][$_POST["token"]] = true; // invalidate the current nonce
// generate a new nonce
$nonce = base64_encode(random_bytes(128));
$_SESSION["nonce"][$nonce] = false;
}
现在,每次我们接受一个尚未使用的随机数时,我们也会为下一个播放负载生成一个新的随机数。即使用户将 session cookie 复制到另一个客户端,他们也永远无法以这种方式同时播放视频。因为一旦一台设备使用 token ,具有相同 session 的另一台设备仍然无法在下一个请求中重复使用相同的 token 并且它将无法接收新 继续播放视频的 token 。所以他们会互相阻碍。
关于java - 限制同时登录的用户设备数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39651486/
我将应用程序升级到Rails4,一切正常。我可以登录并转到我的编辑页面。也更新了观点。使用标准View时,用户会更新。但是当我添加例如字段:name时,它不会在表单中更新。使用devise3.1.1和gem'protected_attributes'我需要在设备或数据库上运行某种更新命令吗?我也搜索过这个地方,找到了许多不同的解决方案,但没有一个会更新我的用户字段。我没有添加任何自定义字段。 最佳答案 如果您想允许额外的参数,您可以在ApplicationController中使用beforefilter,因为Rails4将参数
我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
我意识到这可能是一个非常基本的问题,但我现在已经花了几天时间回过头来解决这个问题,但出于某种原因,Google就是没有帮助我。(我认为部分问题在于我是一个初学者,我不知道该问什么......)我也看过O'Reilly的RubyCookbook和RailsAPI,但我仍然停留在这个问题上.我找到了一些关于多态关系的信息,但它似乎不是我需要的(尽管如果我错了请告诉我)。我正在尝试调整MichaelHartl'stutorial创建一个包含用户、文章和评论的博客应用程序(不使用脚手架)。我希望评论既属于用户又属于文章。我的主要问题是:我不知道如何将当前文章的ID放入评论Controller。
我在新的Debian6VirtualBoxVM上安装RVM时遇到问题。我已经安装了所有需要的包并使用下载了安装脚本(curl-shttps://rvm.beginrescueend.com/install/rvm)>rvm,但以单个用户身份运行时bashrvm我收到以下错误消息:ERROR:Unabletocheckoutbranch.安装在这里停止,并且(据我所知)没有安装RVM的任何文件。如果我以root身份运行脚本(对于多用户安装),我会收到另一条消息:Successfullycheckedoutbranch''安装程序继续并指示成功,但未添加.rvm目录,甚至在修改我的.bas
我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我
什么是ruby的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht
在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList()Obt
这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/
HashMap中为什么引入红黑树,而不是AVL树呢1.概述开始学习这个知识点之前我们需要知道,在JDK1.8以及之前,针对HashMap有什么不同。JDK1.7的时候,HashMap的底层实现是数组+链表JDK1.8的时候,HashMap的底层实现是数组+链表+红黑树我们要思考一个问题,为什么要从链表转为红黑树呢。首先先让我们了解下链表有什么不好???2.链表上述的截图其实就是链表的结构,我们来看下链表的增删改查的时间复杂度增:因为链表不是线性结构,所以每次添加的时候,只需要移动一个节点,所以可以理解为复杂度是N(1)删:算法时间复杂度跟增保持一致查:既然是非线性结构,所以查询某一个节点的时候