Laravel/PHPでアプリケーションを開発しており、ユーザーごとの有料料金設定モデルを使用したいと考えています。そのためには、アカウントを1人の同時ユーザーしか使用できないようにする必要があります。私たちは認証にJWTを使用しており、ステートレスなので、セッションは使用できません。は、JWTのログインごとに1人の同時ユーザーを許可します
1人の同時ログインを保証するために、私はブラウザエージェントまたはIPを囲むことができますが、両方が一意ではなく、たとえば複数の場合に一度に発生する可能性があります。オフィス。また、私はMACアドレスを送信することができますが、それは最も簡単な方法ではありません。
JWTを使用するユーザーごとに1つの同時ログインを保証する他のソリューションはありますか?
サーバー上の状態を保存せずにこれを行うと考えることができるのは、トークンの有効期間に新しいトークンに署名する機能を無効にすることだけです。
これはまた、ユーザーが別のデバイスに再度ログインするのを防ぎますブラウザがトークンの存続期間中に再起動された場合 –
私はこの単純な答えはいいえ、あなたはJWTでそれを行うことはできず、サーバーをステートレスに保つことができないと思います。
これにより、最新のログインユーザーがサービスを利用できるログインフローが発生します。これは、実際にデバイスを変更したり、ブラウザセッションを再開したりする同じユーザーの場合に便利です。たとえば、Spotifyの「ストリームを追う」というコンカレントリスニングの処理方法と比較してください。
私はJWTを使わずにテストし、パスワード認可トークンを使ってOAuth2認証を受けました。 1クライアント内では、ユーザーは1つのログインでのみアプリケーションを使用できます。別のセッション/デバイスでログインすると、もう一方のログイン(トークン)はもう有効になりません。 1人のユーザーが複数回ログインできるようにする場合(Webアプリやモバイルアプリなど)、複数のクライアントを使用できます。
このRFC提案からいくつかのアイデアを得るかもしれません:https://tools.ietf.org/html/draft-jones-oauth-token-binding-00 – ingenious