Web 如何限制访问设备

搞个账号不好吗

套一层 webvpn 内部系统只允许通过 webvpn 访问，webvpn 不逊用户额外装什么软件 直接用浏览器访问

天啊，这问题不就是我年前遇到的。web 在公网，但是只给公司内部用。ip 是变化的。
想了一圈，最后闲着无聊写了个 chrome 插件，请求接口的时候追加 auth 鉴权

客户端证书，或者 http basic auth ，用户名+密码就相当于 token

弄个 web 界面，让他们访问之前点击相应的链接把 IP 添加到白名单内，再访问这个系统

cloudflare Zero Trust

@zgsi 看了你的补充，我也补充下。
chrome 插件首次安装后生产一个 guid 缓存到本地，然后后台加白名单和权限，然后请求接口的时候把 guid 加密放到 auth 。
这样应该安全吧？

@zgsi #27 也有问题。 就像他们说的防君子不防小人，要是有人拿到这个 guid ，直接加到别的设备里，那就相当于新增设备了

@imherer 内部泄露那没办法了。你给他账号密码他一样给别人。我目前这样实现了。目前测试观察阶段很稳定。我目前弊端是要刷新才会生产新的 auth ，后期可能会考虑登录后的状态有效期给长一点来解决。
如果你有了好的解决方案，麻烦踢下我！

试试 mtls 吧，或者基于 FIDO 的设备 passkey

@zgsi #29 嗯嗯

TOTP 动态口令

IP 限制 + VPN
我们把敏感网站限制成仅公司 IP 可访问, 然后在公司网络部署 OpenVPN, 敏感网站添加 VPN 路由配置走 VPN, 要访问敏感网站就开启 VPN 访问

我也建议从网络层面解决问题。
部署一个 tailscale subnet router 在服务傍边，广播服务 ip
部署一个 tailscale client 在公司内部，添加路由规则
即可达到内部可以访问服务，并且服务无法直接访问公司内部网络
（大概是这样的，没实战过

客户端证书应该是比较成熟的方案吧。楼上有提到，在 nginx 里也可以实现。还可以每个客户端装不同证书，吊销指定的客户端证书。

https://developers.cloudflare.com/ssl/client-certificates/

@8355 我觉得楼主就是鉴权设备而不是用户。我们也有这样的需求，就算这个用户合法，但是只允许他的特定设备接入。

你搜索的是 JS 设备指纹

不然还是用 electron 包个浏览器吧，你想做的都能实现

如果真的想进行设备上的限制, 那尽可能做个桌面端. 桌面端获取系统信息然后判定.

如果只想确保登录的人员是合法的, 那尽可能增加双重验证, 或者使用目前最新的认证方案: passkey.

passkey 可以让用户不通过账户名和密码登录, 只需要手机扫描登录的二维码, 然后通过蓝牙与主机交互确认登录.

@Karte 这种方案用户无需记住密码, 所有登录操作必须有认证过的设备与页面交互才能进行登录.