Web 如何限制访问设备

具体可以在 (passkey)[https://passkey.org/] 网站进行了解.

@zgzhang js 设备指纹不行吧？ 指纹受影响的因素太多了，比如分辨率、浏览器版本等等

@Karte “如果真的想进行设备上的限制, 那尽可能做个桌面端. 桌面端获取系统信息然后判定.”

请问有这方面的开源方案吗？

@liuzimin #43 electron 、tauri 、wails 等等

JS 设备指纹的确没那么文档，但绝大部分场景够用，我再给你个思路，很多企业用零信任解决这个问题，用零信任限制只有某些人和某些设备，可以访问你的系统

@liuzimin 如果预设这种场景那就是设备本身可以定期更新类似 token 的令牌，通过证书等手段加限制，系统间通过令牌来识别设备。设备证书定期下发续期。

只允许公司出口和 vpn 地址访问 非办公区需要使用 vpn 才能访问

@zgzhang #45 其实现在账密登录后已经就是零信任了，因为每次和服务端交互都验证了是否已经登录过。
不过零信任这个还可以再深究下看看有没有东西可以做

@imherer 你理解的零信任不对，你说的只是登录验证，https://www.aliyun.com/product/security/csas ，参考类似的产品

azure ad 可以做到，配合條件式存取，裡面有設備 id ，如果 edge 直接支持，如果 chrome 要安裝微軟出的插件

@liuzimin 抱歉, 对于桌面端这个我不太了解. 不过可以先通过 AI 询问是否有相关方案.

不过如果使用的是 NextJs 相关框架, 需要确保类似的框架是否能够调用系统底层 API.

配个客户端证书

你这个标准的 zero trust 需求，用户和你能连接到国际互联网的话，使用 cloudflare zero trust 免费版就能解决了。 添加一个 application ，使用邮箱验证，把用户的邮箱加进去，每次打开的时候需要使用邮箱获得一个验证码进入。

@mooyo 国内的云厂商也有提供类似的功能，但应该都是收费的，免费的我暂时就看到 CF 这家。

ssl 双向证书认证？ sso ？

说到零信任准入，我找到一个叫 NetBird 的开源项目，看上去好像可以满足要求。https://github.com/netbirdio/netbird?tab=readme-ov-file

可以考虑硬件令牌（ HOTP ），类似于 U 盾，一机一码单点登录，这样就算泄密，也能追踪到个人

可用的方案：
1 、客户端证书
2 、HTTP basic auth
3 、VPN

楼上好多说 vpn 的，vpn 可以限制指定设备安装吗

首先设备是受控的，如果不是，没得做。

然后 mtls 就行了。