Как ограничить доступ к веб-приложению только одной машиной?

IP-адрес может измениться в случае мобильных клиентов или клиентов, которые переключаются между проводными и беспроводными сетями. Лучше всего, вероятно, будет предоставить случайно сгенерированный UID каждому клиенту при первом подключении (если у него еще нет файла cookie). Затем вы можете проверить, что одно и то же имя пользователя не подключается с использованием двух разных UID.

Хитрость заключается в том, что вам нужно убедиться, что этот UID истекает, чтобы, если пользователь перейдет к другому компьютеру, он не был заблокирован. Возможно, одно изменение UID допустимо, но они не могут вернуться к уже использованному UID?

Вы можете ограничиться одним пользовательским агентом, выдав клиенту SSL-сертификат на стороне клиента, созданный с помощью элемента keygen, это заставляет браузер генерировать пару ключей, сохраняя закрытый ключ в пользовательском агенте, затем вы получаете SPKAC, который вы можно использовать для создания сертификата openssl, который вы затем отправляете обратно пользовательскому агенту, он устанавливает его, и с этого момента его можно использовать для идентификации пользователя в этом конкретном браузере только через HTTP + TLS.

Все остальное просто не будет работать на 100% - хотя вы можете взломать способы, которые кажутся работающими (пока что-то не пойдет не так, и это не сработает) :)

К сожалению, IP-адрес не зависит от машины по нескольким причинам:

1. IP-адрес может измениться во время сеанса без уведомления (пользователь может даже не знать об этом).
2. У большинства пользователей динамический IP-адрес, поэтому он определенно изменится в какой-то момент.
3. Для таких устройств, как ноутбук, планшет или мобильный телефон, IP-адрес зависит от текущего поставщика услуг.
4. Все пользователи за прокси-сервером будут отображаться для вас как один IP-адрес, поэтому вы все равно не сможете определить, переместились ли они с одной машины на другую.

Вместо этого сгенерируйте какой-то уникальный ключ для сеанса и отследите его в сочетании с именем пользователя. Запретите им вход в систему, если то же имя пользователя уже находится в другом активном сеансе. (Вам также понадобится какой-то способ автоматически сбросить их на случай, если вы потеряете событие завершения сеанса.)

Лучшее решение уже встроено в веб-сервер, в зависимости от того, какой из них вы используете. Для этого и нужны Сеансы. В ASP.NET/IIS обычно существует 20-минутный тайм-аут на сеанс.

Таким образом, если пользователь использует другой компьютер для доступа к вашему веб-приложению, то тайм-аут сеанса разорвет соединение с незанятой машиной.

ОБНОВЛЕНИЕ

Возможно, вы захотите ограничить пользователей уникальными MAC-адресами их машин.

Если это очень внутреннее приложение, которое будет использоваться только внутри компании, может быть возможно определить диапазон IP-адресов, потому что небольшие компании, которые не работают по всему миру, вероятно, будут иметь определенное количество IP-адресов от своего провайдера доступа в Интернет.

Вы также можете подумать об использовании некоторой информации из $_SERVER, чтобы ограничить пользователей комбинацией одного веб-браузера (HTTP_USER_AGENT) и одного порта (REMOTE_PORT) — как дополнительный способ различать машины.

Но все эти решения плохи или еще хуже, технически, вероятно, невозможно решить эту проблему (если только у вас не будет гарантий от вашего клиента, что все машины сохранят статический IP-адрес, и в этом случае это тривиальная проблема if else).

Не делай этого. Многие люди будут заходить на ваш сайт с нескольких компьютеров и будут жаловаться, если вы их заблокируете.