V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kaiki
V2EX  ›  问与答

无需注册的网站系统如何给用户进行限制领号

  •  
  •   kaiki · 2020-05-08 04:07:20 +08:00 · 1707 次点击
    这是一个创建于 1661 天前的主题,其中的信息可能已经有所发展或是发生改变。
    自己的项目,不需要注册,可以领取一串代码作为账号储存在 cookies 中,具有唯一性,因为这个网站不会储存任何用户数据,所以验证用户身份是用这一串随机生成的代码,用户可以随时选择销毁代码,但是我不想用户滥用代码生成来生成一堆没有意义的代码并弃用。
    有什么好的建议吗?如用户领取上的限制,后台生成上的限制。

    *领取操作用户不需要输入任何内容就可以领取,网站更不会有实名和实人、设备唯一的验证,不储存用户数据(IP 除外,虽然可以伪造)。
    15 条回复    2020-05-09 12:05:47 +08:00
    jadec0der
        1
    jadec0der  
       2020-05-08 04:25:55 +08:00
    js 代码挖十分钟的矿发一个 token
    kaiki
        2
    kaiki  
    OP
       2020-05-08 04:53:12 +08:00
    @jadec0der 别吧,没必要恶心用户
    msg7086
        3
    msg7086  
       2020-05-08 06:42:26 +08:00
    如果领号没有代价,那么领号并废弃就应该是常态。
    如果你不想废弃号码,那么必然要给用户一个代价。
    你觉得什么代价你能接受,那就用那个代价。

    上面的兄弟说挖矿 10 分钟,这就属于代价的一种。出卖个人信息或者付费则是另一种代价。
    iConnect
        4
    iConnect  
       2020-05-08 07:21:40 +08:00 via Android   ❤️ 1
    不管楼主的网站是提供什么服务,除非是公益项目,否则你还是要和用户交换利益,银行有用户所有的真实数据(要用户的数据没有问题,不要滥用、泄露数据才是关键),要用户数据不恶心。你的服务要不要用户数据,用户是看值不值。你要限制领取,想要低付出获换更大流量,要考虑的提高防薅门槛,现在有效的防薅手段都是要核验用户身份的真实唯一。
    Aruforce
        5
    Aruforce  
       2020-05-08 08:15:36 +08:00 via Android
    网卡地址?一般没人会整个改网卡的操作吧………
    rioshikelong121
        6
    rioshikelong121  
       2020-05-08 08:18:29 +08:00
    浏览器指纹
    答题
    lianyue
        7
    lianyue  
       2020-05-08 08:28:32 +08:00 via iPhone
    敏感操作 google recaptcha 后生成一个 浏览就不用 token 了

    比如发帖加上就好了 生成后存到 cookie 里面就好了下次发帖不需要了
    dallaslu
        8
    dallaslu  
       2020-05-08 08:30:21 +08:00
    服务器为新用户生成随机串做验证,并存储起来;写一个规则用于定时清理长期没有使用行为的数据就行了。

    如果不想存储在服务器,可以把原始随机串和服务器签名存在 cookie 里,服务器只做签名校验(也可以把校验结果缓存一段时间提高速度)。
    liuxey
        9
    liuxey  
       2020-05-08 08:42:40 +08:00
    就算是手机验证码注册,只要你的领的号价值足够有吸引力,大量手机号码池等着领呢,IP 也是一样
    更别说 cookie 了,分分钟搞个几万个号,所以请再次思考二楼内容,领的号和付出的代价要对等,至少不能差太多
    XGHeaven
        10
    XGHeaven  
       2020-05-08 09:31:43 +08:00 via Android
    建议还是接入第三方的账号,否则就不要想太多了 😂
    kaiki
        11
    kaiki  
    OP
       2020-05-08 16:10:23 +08:00
    @msg7086 其实主要原因是领号并不是永久可领的,某些情况可以关闭领号。
    @iConnect 就是公益项目,不需要用户提供真实数据
    @lianyue 其实我也想找一个好点的验证码系统,google 在国内没法用,极验把我拒绝了
    @XGHeaven 完全不考虑接入验证储存用户的其他账号信息
    @dallaslu 一开始我就是用的这个办法,只是没有做清理

    网站主打的是免注册,开放和匿名性,不想搞太高的门槛,也不想毫无门槛,挖矿这种和利益挂钩的不考虑,不过类似这种需要消耗一定的时间才能获得的方法不错,至少也是一种限制,有什么可行的办法吗?
    verrickt
        12
    verrickt  
       2020-05-09 02:55:35 +08:00 via Android
    @kaiki 是 b 岛的开发者吧。提个思路,获取的饼干默认丢 redis,定时清空。只能看,不能回。饼干活跃一段时间后从 redis 放主入数据库。这个活跃可以自行发挥,比如带饼干浏览 x 分钟,满 x 天之类的。
    相当于加了个低权限的用户组,设置好提升权限的规则后就定期清除低权限用户。
    kaiki
        13
    kaiki  
    OP
       2020-05-09 04:42:09 +08:00
    @verrickt 给用户分三六九等的做法我是反对的,我更希望是从无到有需要花上一些时间,而不是从有到能用。
    verrickt
        14
    verrickt  
       2020-05-09 08:43:53 +08:00 via Android
    @kaiki 那可能就没什么好办法了。给用户分三六九等本质上是把匿名版无法记录“代价”这个主要矛盾化为了 人与饼干关联,饼干和“代价”关联这种形式。不这么做的话又怎么关联人与“代价”呢?
    alan0liang
        15
    alan0liang  
       2020-05-09 12:05:47 +08:00 via Android
    @kaiki reCaptcha 可以用 www.recaptcha.net 替换 www.google.com 在国内就能用了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2671 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 06:03 · PVG 14:03 · LAX 22:03 · JFK 01:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.