基于位置的应用程序如何在服务器端安全地验证客户端位置?
位置数据很容易被操纵,用户使用 VPN 或分析网络历史记录来发送带有虚假位置信息的欺骗 API 请求。
HMAC 签名提供了希望,但它们甚至可以通过分析网络历史来模仿用于 HMAC 的共享密钥交换 (Diffie-Hellman)。
身份验证令牌不能解决这个问题,限制 API 或实施蜜罐等方法也不是根本解决方案。
对于这个问题有什么见解或解决方案吗?
客户端发送的任何类型的信息都是客户端可能会或可能不会操纵的。基于 HTTP 请求内容,没有什么是 100% 可靠的,从数据隐私的角度来看,我们应该庆幸它是这样的。
您可能会尝试定位与您通信的某个 IP 地址。代理、VPN 或 TOR 之类的东西将绕过此类措施,并且地理位置永远不会准确。