スマートフォンやタブレットをターゲットにしながらデータレポートを閲覧するための社内Webベースのアプリケーションを開発しています。お客様から、特定のデバイスのみがコンテンツにアクセスできる可能性について問い合わせがありました。そのため、IMEI やデバイス uuid などの一意の ID を読み取ることができない javascript/HTML5 に基づくテクノロジを使用しています。一方で、ASP や PHP などのサーバー テクノロジを使用して成功することもできます。
望ましい結果につながらないアイデアがいくつかあります (ここで説明したもの: Persistent client-side web storage )。
特定のデバイスだけが Web サイトにアクセスできるようにするアイデアはありますか?
このようなアクセス制御は、従来のログイン方法がその上に実装されている場合にのみ「安全」になります。つまり、ユーザーは (1) ユーザー名とパスワードでサインインする必要がありますが、(2) 特定のデバイスでしかサインインできません。
ステップ (1) はアクセスを基本的に「安全」にするために必要ですが、ステップ (2) は、自分が何をしているのかほとんど見当がつかない人がアプリに侵入するのを少し難しくするだけです。
(2 番目の手順がないと、他のネットワーク トラフィックを傍受することなく、URL を知っているユーザーがログイン フォームのブルート フォース攻撃を試みる可能性があります。)
モバイルブラウザアプリが常に更新されていないため、UA文字列を常に変更しないと仮定すると(これは面倒かもしれません)、ユーザーエージェント(UA)文字列とおそらく他のHTTPヘッダーを確実にフィンガープリントし、サーバー側を確認できます.
また、プラットフォームのデフォルト Web ブラウザー ウィジェットのみで構成され、アプリの URL がデフォルト ページとして組み込まれている、ターゲット プラットフォーム用のシンプルで非常にシンプルなネイティブ モバイル アプリを作成することもできます。
次に、URL と場合によっては HTTP ヘッダーを制御し、特別な秘密の認証ヘッダーまたは URL パラメーター (デバイスの IMEI など) を追加して、サーバー側で確認することができます。
Android を対象とする場合、必ずしも Google Play に依存する必要はありません。独自のサーバーの 1 つから APK ファイルを配布して、対象ユーザーのみがアプリを利用できるようにすることもできます。
私の知る限り、フィンガープリント時に使用されるように返すことができるいくつかのJavascript値を使用して、作業するユーザーエージェントしかありません。
ユーザー エージェントは多くのことを実行できるはずですが、簡単にスプーフィングされる可能性があります。Javascript の値も同様です。
あなたがやりたいことを安全に行う方法はないと思います。しかし、繰り返しますが、あなたが本当にそれを安全にしたいのかどうかはわかりません.
また、100% ブラウザー ベースではなく、モバイル アプリを作成することもできます。(Apple AppStore / Google Play ストアなど) ここでは、マシン タイプを識別するために、より多くの変数へのアクセスを要求できると思います。
ここで軽量を試してくださいphp-mobile-detect: (サーバー側のチェックは常に優れています) https://code.google.com/p/php-mobile-detect/