با توجه به این که توکن دریافت شده از سرور بعد از احراز هویت، در لوکال استوریج ذخیره می شود و اگر کسی به این توکن دسترسی پیدا کند، از هر سیستم و کلاینتی می تواند به اطلاعات دست رسی داشته و وارد محیط کاربری شود.
برای این که به برنامه امنیت بیشتری بدهم، اگر علاوه بر توکن،یکی از مشخصات سیستم رو هم به دست بیاریم تا کلاینتی فقط با این ویژگی (مثلا سریال هارد) بتواند با این توکن، وارد سایت شود.
آیا اساسا برنامه های تحت وب چنین دسترسی به مشخصات سیستم کلاینت دارند؟ یا فقط می توانیم از Ip کاربر استفاده کنیم. (چون آی پی کاربر هم معمولا در هر بار اتصال عوض می شود و کاربر را از سامانه خارج می کند.)

سلام. به نظرم IP را به عنوان یک Claim در Token لحاظ کنید (اگر Client یک برنامه تحت وب است). حالا اگر این Token دست شخص دیگری قرار بگیرد قطعا بدلیل مغایر بودن IP میتونید در احراز هویت کاربر اون را نامعتبر اعلام کنید. در حقیقت باید IP کاربر جاری را با مقدار IP موجود در Token مقایسه کنید.

این همه روش های کد گزاری رشته هست یکی انتخاب کن

سلام
وقتی که یک شخص از طریق مرورگر بتونه وارد یک وبسایت بشه شک نکنید که با نرم افزارهای دیگه و کلاین های دیگه هم میتونن وارد بشن و یه موضوعیه که نمیتونید جلوشو بگیرید. چرا که وب سرور نمیتونه تشخیص بده که درخواست از یک مرورگر فرستاده شده یا یک نرم افزار کلاینت شبیه سازی شده از مرورگر
از طرفی هم شما نمیتونید اطلاعات سیستمی کاربران رو بدست بیارید از طریق یک مرورگر ، چون امنیت مثل قبلا نیست و مرورگرها خیلی بیشتر روی امنیت حساس شدن
شاید بشه با استفاده از توکن های یک بارمصرف و کد کردن یک مقدار راه رو پیچیده تر کنید ولی درکل جلوگیری صددرصد امکان پذیر نیست. خود کاربران مسئول امنیت سیستم شخصی خودشون هستن.