web-dev-qa-db-ja.com

特定のEメールIDとパスワードのセットを使用して、Webサイトで有料アカウントごとに一意のユーザーを維持する方法は?

ウェブサイトの場合、無料と有料の会員オプションがあります。ユーザーがある程度の金額を支払うと、Webサイトの無料アカウントにない追加の製品のメンバーシップを1か月間取得します。

ユーザーが支払いをしてメンバーシップを取得したら、1人のユーザーのみがアカウントにアクセスするようにする方法は?私はただ一人のユーザーだけが有料アカウントを使用することを望んでおり、たとえ彼が彼のメールIDとパスワードのセットを彼の友人に与えても、彼らはログインできないはずです。

だから私はこれのために何をする必要がありますか?有料会員オプションを提供するサイトは多数あります。彼らは有料アカウントごとに1人のユーザーを制限するために特別なことをしますか?

3
Asutosh Panda

この問題に対する簡単な解決策はありません。静的パスワードは友人間で共有できます。追跡メカニズム(IPアドレス、Cookie)は、「誤検知」(つまり、実際に支払いを行っているメンバーを拒否する)になります。これはビジネスにとって非常に悪いことです。

Steveが提案したOTP(ワンタイムパスワード)の使用は、casualの使用を許可せず、簡単にバイパスされるため、おそらく実用的ではありません(ユーザーはSMS転送または音声でワンタイムパスワードを友人に渡すことができます)。

私の提案(ifあなたは共有を思いとどまらせることは良い考えだと思う-それは良い考えではないかもしれない-最後の段落を読んでください)、次のとおりです:

友人とパスワードを共有することは許可されておらず、すぐにアクセスが失われることを明確にするEULAを提供します。メンバーはパスワードを共有することで自分の発明を危険にさらすため、これは共有を妨げます。残念ながら、実際にdiscover共有することは簡単ではありません(CookieやIPアドレスに頼ることはできません)。ただし、非技術ユーザーはそれを知りません。異なるIPアドレスを持つ2つ(またはそれ以上)の同時アクティブセッションが存在する場合、パスワードが共有されていることを示す非常に堅牢なインジケータの1つです。このポリシーに違反するものをキャッチできます。

ダウンロードしたドキュメントを共有しないようにするには、ユーザーに不揮発性ドキュメント形式(「保護された」PDFなど)のダウンロードのみを許可し、各ページにユーザーのIDを示す透かしを入れます。 「共有」ドキュメントがインターネット上で漏洩した場合、誰が責任を負うべきかを知るでしょう。繰り返しになりますが、この考え方は、ポリシー違反について学習できることをユーザーに明確にすることです。 (ダウンロードを許可しないようにすることもできますが、これは実際的ではありません。表示できる場合はダウンロードできます。)

上記に加えて、使い捨てIDを提供するnot認証プロバイダでサードパーティ認証を使用することができます(例:Google認証システム)。ユーザーは、そのようなIDへのアクセスを友人に許可するのを嫌がります。たとえば、Google ID(たとえば)が「全体」であると、そのIDの所有者が間違った手に触れると害を及ぼす可能性があるためです。 (これらのサードパーティスキームのほとんどで「使い捨て」アイデンティティを作成することはpossibleですが、そうするにはスキルと知識が必要です。)

しかし、明白な真実は、ペイウォールの背後にある情報が共有されないように保護することはimpossibleであるということです。

あなたが何をするにしても、誰かがアクセスを支払い、一度ログインし、利用可能なallをダウンロードすることができます(1つの作業であるか、データベース全体である可能性があります) -価格設定/アクセススキームに応じて、また何かがダウンロードされたら、友人、クラスメート、または世界中と共有できます。

出版および音楽業界は、このためのソリューションを長年探しています。彼らはそれを「DRM」と呼んでいますが、実際には機能しません。最も成功する戦略は、おそらく共有を心配することですnot。代わりに、あなたの製品を魅力的なものにする努力を払ってください。そして、あなたの支払いをする顧客の大部分は、あなたをすことを望まないです。 Tim O'Reillyによるこのエッセイは、あなたが尋ねる質問のタイプを尋ねるaynyoneのために読むことをお勧めします: https://plus.google.com/+TimOReilly/posts/BEDukdz2B1r

4
Free Radical

このようなものを実装することはかなり困難です。ほとんどの人は動的IPを持っているため、IP番号に基づいてそれを行うことはできません。たとえそれが一部の人々だけであったとしても、あなたは問題を抱えているでしょう。

Cookieを介してそれを行うこともできますが、Cookieを受け入れず、Cookieを削除する人もいるため、サポートの悪夢を作り出していると思います。また、他の人のメールを使用している人が「すべてのCookieを削除しました」というメッセージを止めることは何ですか。

誰かがログインするたびに一意のパスワードを使用してSMSを送信することもできますが、そのような体験を楽しんでいる人には幸いです。

ソフトウェア、音楽、その他何でも、システムを詐欺する人の割合が常にあるようなものです。

2
Steve