如何通过Javascript管理用户身份？

Question

我运行一个允许免费试用的 SaaS。基本上，如果您注册，您会立即获得价值几美元的免费服务。我一直仅根据 IP 地址来确定新用户，并且在前几个月效果很好。现在人们终于意识到更改 IP 地址并骗取我的免费试用奖金是非常容易的。

我想做的基本上是创建所有可能的 javascript 浏览器变量的哈希值并将其存储在 MySQL 数据库中。

如果我注意到之前 100 个注册中已有 10 个使用相同的浏览器哈希注册了免费试用...我将不会为该帐户启用免费试用奖励。

我该从哪里开始呢？ （在哪里可以找到所有 javascript 浏览器变量设置的列表，例如窗口大小、操作系统、浏览器和版本号、国家/地区、语言等...？或者 jquery 是否已经提供类似的内容？）

我考虑过实施电话验证通过 twilio...但这会花费我的钱，花费我的用户的钱，并最终导致免费试用的减少。

编辑：这里的目标是尽可能限制欺诈活动，并且不妨碍最轻微的实际活动！

当然这个解决方案并不完美，但加上我已经拥有的其他解决方案将会有所帮助。我愿意接受一些损失，但希望尽可能限制它。

Answer 1

您可能想做的是查看浏览器指纹 http://panopticlick.eff.org/

尽管这无论如何都不是万无一失的，如果您将其与 cookie 和用户 IP 地址混合，您应该会得到适合大多数用户的东西。

已更新
如果我的想法是限制欺诈活动，我会实施基于短信的代码，类似于 Gmail 的工作原理。您必须输入您的手机号码才能获得免费试用，如果您批量购买短信，您应该能够以每条 2 便士左右的价格获得它们，而且实施起来很容易，只需找到具有 API 的短信供应商即可。

尽管您可以使用上面的技术，但它过于复杂，并且仍然不会万无一失，并且可以轻松解决。

Answer 2

这确实不可靠。

问题

如果有任何变化（例如浏览器更新，更不用说它可以只是切换），您的哈希将不会匹配，并且同一个人将能够再次开始试用。

当您存储一些会话/cookie 数据时，也会出现同样的问题 - cookie 可以被清除（cookie 通常存储会话标识符）。

解决

方案您面临的问题可能只能通过注册来解决 - 您可以使用OAuth 并允许人们使用其他提供商（Google、Facebook、Twitter、Linkedin 等）的现有帐户进行注册

Answer 3

您正在尝试在 JavaScript 中唯一地标识一个人。这在网络上通常是不可能做到的——部分是出于设计目的，为了保持匿名。您在这里可以做的最好的事情就是设置一个 cookie，并在用户尝试更改其 IP 地址时检查该 cookie。
他们始终能够清除 cookie，但这就是您所能做的。

Answer 4

您是否考虑过实施验证码？
这不会阻止愿意手动创建多个帐户的用户，但肯定会击败在几分钟内创建数百个帐户的机器人。
我喜欢验证码：
http://www.google.com/recaptcha，它是免费的，它为视觉障碍人士提供了解决方案受损，它有助于书籍数字化。