最近,我在使用javascript开发一个基于Chrome的插件,遇到了一个有意思的需求。插件需要生成一个授权码(code),但为了确保安全性,这个code必须与设备绑定,防止被不同的设备使用,限制一个code只能在一个设备上使用。这个需求带来了一个问题:我该如何在前端中获取当前设备的唯一标识呢?
解决方法
在对浏览器的限制做了进一步了解,因为涉及到用户隐私问题,因为MAC地址是一种物理地址,能够作为设备的唯一标识,如果被网站轻易获取,可能会导致用户隐私泄露和安全风险增加。所以现在浏览器不允许前端JavaScript直接获取设备的MAC地址或其它能够明确标识设备硬件的敏感信息。那么通过前端直接获取设备的唯一硬件标识符是不可能的。至此全剧终,不用往下看了🤣
哈哈哈,虽然不能直接获取到设备唯一信息,但是需求还要做,毕竟解决不了提需求的人啊。在这里整理了几种思路:
- 可以通过后端服务器记录IP地址、User-Agent等信息来间接识别用户
- 通过收集浏览器的各种配置和环境信息(如屏幕分辨率、字体、插件列表等),生成一个相对唯一的标识符
- 在用户首次安装插件时生成一个UUID并存储在Cookie或localStorage中,以此作为该设备的唯一标识。但需注意,用户清除浏览器数据时,此ID存在丢失的风险。
方法一:通过后端服务器记录IP地址、User-Agent等信息
先给大家分析一下这种方法的优缺点 :
优点
- 无需在客户端处理复杂逻辑,降低了前端插件的开发复杂性。
- 不依赖客户端存储,即使用户清除浏览器数据,也可以识别用户。
缺点
这个方法并不能精确地区分内网中的每个设备,假设现在有10个设备位于同一内网,并通过相同的外网出口IP地址访问互联网时,仅凭后端服务器记录的IP地址无法区分这10个设备,因为它们对外显示的是同一个公网IP地址。
User-Agent,它是浏览器或客户端应用程序发送请求时携带的一个字符串头,包含有关浏览器类型、版本、操作系统等信息。虽然User-Agent可以提供关于用户使用的浏览器和系统的信息,但对于来自同一内网的不同设备,如果这是批量采购的设备,在设备、浏览器和操作系统没有其他差异,它们可能会是相同的User-Agent字符串。
另外就是我们的后台服务只是提供简单的授权码验证服务,增加这部分逻辑显得有些多余。
方法二:生成UUID
可以生成一个随机的 UUID,作为设备的唯一标识符,这个方法完全可以满足需求。
优点:
- 只要用户不清除浏览器数据,UUID可以长期保留,提供稳定的设备识别能力。
- 生成UUID并存储在浏览器的localStorage或Cookie中,易于实现。
缺点:
- 如果用户清除浏览器数据,UUID会丢失,导致无法继续识别设备。
- 相对于UUID存储在客户端,很容易被用户删除或篡改
示例代码:
// 生成UUIDfunctiongenerateUUID(){return'xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx'.replace(/[xy]/g,function(c){var r = Math.random()*16|0, v = c ==='x'? r :(r &0x3|0x8);return v.toString(16);});}
UUID的版本4使用随机数生成,重复的概率极低。然而,如果你担心在非常大的数据集中可能会有重复的情况发生,或者你想要确保在分布式系统中生成的UUID在时间上有一定的顺序,那么将UUID与时间戳结合起来。
// 时间戳可以提供一个大致的创建时间顺序// UUID可以确保在同一个时间戳内生成的标识符的唯一性functiongenerateTimestampedUUID(){// 获取当前时间的时间戳(毫秒)const timestamp = Date.now();// 生成UUID v4const uuid ='xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx'.replace(/[xy]/g,function(c){const r = Math.random()*16|0, v = c ==='x'? r :(r &0x3|0x8);return v.toString(16);});// 将时间戳和UUID拼接起来return`${timestamp}-${uuid}`;}
console.log(generateTimestampedUUID());
方法三:使用浏览器的信息生成唯一标识符
简单的来说就是,通过JavaScript获取多种客户端信息,这些信息可以用来生成一个相对唯一的标识符,这也是我们常说的“浏览器指纹”。
优点:
- 较高的唯一性:通过综合多种浏览器和系统信息生成的指纹具有较高的唯一性。
- 隐蔽性:用户通常不会意识到浏览器指纹的存在,所以不会伪造一些虚假信息。
缺点:
- 信息变化影响识别:浏览器指纹对用户的设置和环境敏感,用户修改设置后指纹可能会改变。
- 隐私和法律问题:生成和使用浏览器指纹可能涉及隐私问题,需遵守相关法律法规。万一被抓了就不值得了
那么我们能获取到客户端哪些信息呢?
1、屏幕和显示信息
// 屏幕尺寸:屏幕的宽度和高度。const screenSize =`${screen.width}x${screen.height}`;// 可视区域尺寸:浏览器窗口的宽度和高度。const viewportSize =`${window.innerWidth}x${window.innerHeight}`;// 颜色深度:屏幕颜色深度。const colorDepth = screen.colorDepth;
2、浏览器和操作系统信息
// User-Agent:包含浏览器、操作系统及其版本信息。const userAgent = navigator.userAgent;// 平台:浏览器运行的系统平台。const platform = navigator.platform;// 语言:浏览器的语言设置。const language = navigator.language;
3、浏览器设置和插件信息
// 插件列表:浏览器中安装的插件列表const plugins = Array.from(navigator.plugins).map(plugin=> plugin.name).join(',');// Do Not Track:用户是否启用了“请勿跟踪”设置const doNotTrack = navigator.doNotTrack;
4、时间和时区信息
// 时区:用户的时区信息const timeZone = Intl.DateTimeFormat().resolvedOptions().timeZone;// 时区偏移:与UTC的时区偏移,以分钟为单位。const timeZoneOffset =newDate().getTimezoneOffset();
5、字体信息
// 检测用户系统中可用的字体const fontList =['Arial','Verdana','Times New Roman','Courier New','Georgia','Comic Sans MS','Trebuchet MS','Arial Black','Impact'];const availableFonts =[];const canvas = document.createElement('canvas');const context = canvas.getContext('2d');const text ='abcdefghijklmnopqrstuvwxyz0123456789';
fontList.forEach((font)=>{
context.font =`16px ${font}`;const width = context.measureText(text).width;
context.font =`16px monospace`;if(context.measureText(text).width !== width){
availableFonts.push(font);}});const fonts = availableFonts.join(',');
6、硬件信息
// CPU线程数:设备的逻辑处理器数量。const hardwareConcurrency = navigator.hardwareConcurrency;// 设备内存:设备内存信息,单位为GB。const deviceMemory = navigator.deviceMemory;
7、浏览器特性
// WebGL渲染器:WebGL渲染器信息functiongetWebGLRenderer(){const canvas = document.createElement('canvas');const gl = canvas.getContext('webgl')|| canvas.getContext('experimental-webgl');if(gl){const debugInfo = gl.getExtension('WEBGL_debug_renderer_info');if(debugInfo){return gl.getParameter(debugInfo.UNMASKED_RENDERER_WEBGL);}}returnnull;}const webGLRenderer =getWebGLRenderer();// Canvas指纹:利用Canvas API绘制图像并获取其数据functiongetCanvasFingerprint(){const canvas = document.createElement('canvas');const context = canvas.getContext('2d');
context.textBaseline ='top';
context.font ='14px Arial';
context.textBaseline ='alphabetic';
context.fillStyle ='#f60';
context.fillRect(125,1,62,20);
context.fillStyle ='#069';
context.fillText('Hello, world!',2,15);
context.fillStyle ='rgba(102, 204, 0, 0.7)';
context.fillText('Hello, world!',4,17);return canvas.toDataURL();}const canvasFingerprint =getCanvasFingerprint();
8、其它特性
// 设备是否支持触控const touchSupport ='ontouchstart'in window || navigator.maxTouchPoints >0;
综合示例代码
最后做一个综合代码示例,将上述信息组合成一个指纹字符串并进行哈希处理,以生成一个唯一标识符:
functiongenerateUUID(){return'xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx'.replace(/[xy]/g,function(c){var r = Math.random()*16|0, v = c =='x'? r :(r &0x3|0x8);return v.toString(16);});}functionhashString(str){let hash =0;for(let i =0; i < str.length; i++){const char = str.charCodeAt(i);
hash =((hash <<5)- hash)+ char;
hash |=0;// Convert to 32bit integer}return hash.toString(16);}functiongetScreenSize(){return`${screen.width}x${screen.height}`;}functiongetViewportSize(){return`${window.innerWidth}x${window.innerHeight}`;}functiongetFonts(){const fontList =['Arial','Verdana','Times New Roman','Courier New','Georgia','Comic Sans MS','Trebuchet MS','Arial Black','Impact'];const availableFonts =[];const canvas = document.createElement('canvas');const context = canvas.getContext('2d');const text ='abcdefghijklmnopqrstuvwxyz0123456789';
fontList.forEach((font)=>{
context.font =`16px ${font}`;const width = context.measureText(text).width;
context.font =`16px monospace`;if(context.measureText(text).width !== width){
availableFonts.push(font);}});return availableFonts.join(',');}functiongetWebGLRenderer(){const canvas = document.createElement('canvas');const gl = canvas.getContext('webgl')|| canvas.getContext('experimental-webgl');if(gl){const debugInfo = gl.getExtension('WEBGL_debug_renderer_info');if(debugInfo){return gl.getParameter(debugInfo.UNMASKED_RENDERER_WEBGL);}}returnnull;}functiongetCanvasFingerprint(){const canvas = document.createElement('canvas');const context = canvas.getContext('2d');
context.textBaseline ='top';
context.font ='14px Arial';
context.textBaseline ='alphabetic';
context.fillStyle ='#f60';
context.fillRect(125,1,62,20);
context.fillStyle ='#069';
context.fillText('Hello, world!',2,15);
context.fillStyle ='rgba(102, 204, 0, 0.7)';
context.fillText('Hello, world!',4,17);return canvas.toDataURL();}functiongenerateFingerprint(){const screenSize =getScreenSize();const viewportSize =getViewportSize();const colorDepth = screen.colorDepth;const userAgent = navigator.userAgent;const platform = navigator.platform;const language = navigator.language;const plugins = Array.from(navigator.plugins).map(plugin=> plugin.name).join(',');const doNotTrack = navigator.doNotTrack;const timeZone = Intl.DateTimeFormat().resolvedOptions().timeZone;const timeZoneOffset =newDate().getTimezoneOffset();const fonts =getFonts();const hardwareConcurrency = navigator.hardwareConcurrency;const deviceMemory = navigator.deviceMemory;const webGLRenderer =getWebGLRenderer();const canvasFingerprint =getCanvasFingerprint();const touchSupport ='ontouchstart'in window || navigator.maxTouchPoints >0;const fingerprint =[
screenSize, viewportSize, colorDepth, userAgent, platform, language,
plugins, doNotTrack, timeZone, timeZoneOffset, fonts, hardwareConcurrency,
deviceMemory, webGLRenderer, canvasFingerprint, touchSupport
].join('|');returnhashString(fingerprint);}const fingerprint =generateFingerprint();const deviceUUID =generateUUID();
console.log('Fingerprint:', fingerprint);
console.log('Device UUID:', deviceUUID);
三种方式的适用场景
使用后端服务器记录IP地址和User-Agent
简单的用户追踪:适用于需要记录访问日志或统计用户活动的简单应用。没有严格的设备绑定要求:适用于不需要严格绑定设备的情况,如某些统计和分析用途。
生成UUID并存储在Cookie或localStorage中
长期设备识别:适用于需要在长时间内稳定识别同一设备的场景,如个性化设置保存、长期会话管理等。用户行为追踪:适用于需要追踪用户行为和偏好的应用,如个性化推荐、广告投放等。
生成相对唯一的浏览器指纹
增强的安全性:适用于需要更高安全性和防欺骗能力的场景,如防止账号共享、在线考试等。无用户登录的情况下识别设备:适用于不需要用户登录即可识别和区分不同设备的应用。
本文转载自: https://blog.csdn.net/weixin_43242942/article/details/139881190
版权归原作者 洛小豆 所有, 如有侵权,请联系我们删除。
版权归原作者 洛小豆 所有, 如有侵权,请联系我们删除。