Web 如何限制访问设备

一个内部系统，但是部署在公网上的，用户都是用 chrome 访问，基于安全性考虑加 IP 访问限制，但是有些用户没有固定公网 ip 或者甚至可能有移动设备访问。

有没有什么办法像 app 那样取到设备信息呢，加设备白名单限制访问

54xavier

2025 年 2 月 12 日

@mightybruce #6 我也觉得这个方案 OK ，只要浏览器登录过一次给这个账号记录一次浏览器指纹，之后这个账号都只能是这个指纹才能登录，指纹不对了就需要重新申请绑定新指纹

n18255447846

2025 年 2 月 13 日

webauthn 不用账密基于设备，新的浏览器原生 api

liuzimin

2025 年 2 月 13 日

@irisdev tailscale 后台就可以开启设备接入认证，每个新设备都需要管理员去后台 approve 允许了才能接入。所以我觉得原理上讲 vpn 限制设备是行得通的。

xugj

2025 年 2 月 13 日

多年前做过现在也一直在用，客户端是桌面程序获取本级 MAC 地址并在服务端绑定，客户端发送 MAC 地址、局域网 IP 等信息服务端验证通过调用浏览器打开指定地址；不知道这样会不会有什么安全隐患？

kalthus

2025 年 2 月 13 日

记得很多年前有过类似的需求，当时是写了个 activex 获取设备的 mac 地址（现在好像没有 activex 了？）

imherer

2025 年 2 月 13 日

@zgzhang #49 那确实是理解错了，为以为的零信任是任何一次交互都是不可信的都要验证呢

imherer

2025 年 2 月 13 日

@liuzimin #36 是的。感觉目前相对来说好一点的可能就是浏览器指纹吧，但是还要解决诸如浏览器版本升级后重新申请绑定

Leeeeex

2025 年 2 月 13 日

我们用的就是 ip 白名单，至于没有公网 ip 或者没有固定 ip 的用户就给他们加临时白名单，大部分时间都是在固定场所登录的。

JEME

2025 年 2 月 13 日

你是否在找，堡垒机，或者特权访问系统

listenerri

2025 年 2 月 13 日

为什么不用系统防火墙呢，针对业务端口设置 IP 白名单

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.