Q&A
> リテラシーの高いユーザーであれば
知識の高い相手に対して如何にして対処するかではなく、どの程度・どんな条件で妥協するかを考えてそれを満たせるように作るだけです
やりたいこと
以下を満たすロジックを考えています。
- 1日5件まで記事を閲覧可能にし、6件目以降は登録しないと閲覧不可
- 未ログインユーザーを対象
- 1週間経過したら制限解除(優先度低)
考えていること
- ブラウザのローカルストレージで状態を記録
- LaravelでユーザーのIPを記録
Laravel側でセッションIDを記録しようかと考えましたが、3つめの条件(1週間経過したら制限解除)を
満たすためにセッションのlifetimeを伸ばす必要があるため、却下しました。
できればサーバーサイドのみで実現したいのですが、IPで管理するのは問題ありますでしょうか?
また、他によい方法はありますでしょうか?
環境
Larval 8
Vue
Homestead
AWS
そうですね、たしかに能力ではかるときりがないですね。
少し修正します
IP で特定するのはほぼ無理でしょう。
ローカルストレージで試作してみて問題があればまた方法を考えればいいんじゃないでしょうか。
問題があった場合は次のような方法を検討してみてください。
https://qiita.com/rana_kualu/items/320a4ade3e16b00adb3f
ありがとうございます!
Cookie削除してIP変えたら回避出来るので無理なのでは…
回答1件
0
ベストアンサー
サーバーサイドのみで
ユーザーが持つクッキー等の情報に依存しないという意味だとして捉えて、実装の考え方のみ回答します
比較的高い精度でユーザーを特定する技術としてブラウザーフィンガープリントと言われるものがあります
下記のサイトがとても詳しく丁寧に書かれているので詳しい説明は割愛します
https://www.saitolab.org/fp_site/
これは雑に言うとユーザーからあらゆる方法で情報を取得し、一致している情報が多ければ同一人物として扱う技術です
情報が100%一致するかどうかを判定条件とするとブラウザを変えただけで別人と判断する事になりますし、条件が緩すぎると別人でも同一人物として扱われる事になります
よってどの程度まで一致しなくても同一人物と判定するかを考えるのが重要です
フィンガープリント情報はredisで有効期限一週間のキャッシュとして保存しておきアプリ側から照合掛ければ良いんじゃないかと思います
以下、要件とは直接は関係しませんが個人的に
利用者が能動的に特定される事を容認されている状態(ログイン)だったり、一般的にこれなら特定されるだろうという情報(グローバルIP)で個人を特定するのなら悪感情を頂きませんが(暗黙の了解的な意味で)、ブラウザ変えてクッキー消しても同一人物と特定されるのは全く良い気分ではありません
なのでもし実装するならIP制限が良いかなと思います
そしてグローバルIPを共有しているタイプのモバイル系回線には諦めてもらう
投稿2021/07/07 00:23
総合スコア6426
あなたの回答
tips
プレビュー
