当我使用一台从未访问过我的网上银行网站的机器时，我被要求进行额外的身份验证。然后，如果我第二次回到网上银行网站，我不会被要求额外的身份验证……我删除了IE中的所有cookie，并重新登录到我的网上银行网站，完全期待再次被问到身份验证问题。令我吃惊的是，没有人问我。这难道不会让人相信银行正在做某种不涉及cookie的PC标记吗?

这是银行使用的一种非常常见的身份验证类型。

假设您正在通过example-isp.com访问您的银行网站。第一次登录时，系统会要求您输入密码，并进行额外的身份验证。一旦您通过了认证，银行就知道用户“thatisvaliant”已通过身份验证，可以通过example-isp.com访问该网站。

将来，当您通过example-isp.com访问该网站时，它将不会要求额外的身份验证(除了您的密码)。如果您试图通过another-isp.com访问该银行，该银行将再次执行相同的程序。

总之，银行识别的是你的ISP和/或网络块，基于你的IP地址。显然，ISP上的每个用户都不是你，这就是为什么银行仍然要求你输入密码的原因。

当你在另一个国家使用信用卡时，你有没有接到信用卡公司的电话来核实事情是否正常?相同的概念。

假设您不希望用户拥有控制权，那么您就不能这样做。网络并不是这样工作的，你能期望的最好的是一些启发式。

如果你可以强迫访问者安装一些软件并使用TCPA，你可能会成功。

实际上，您想做的事情无法实现，因为协议不允许这样做。如果静态ip被普遍使用，那么你可能就能做到这一点。它们不是，所以你不能。

如果您真的想要识别用户，请让他们登录。

因为它们可能会移动到你网站上的不同页面，你需要一种方法来跟踪它们的移动。

只要他们登录了，你就可以通过cookie /链接参数/信标等跟踪他们在你网站上的会话，你就可以很确定他们在这段时间内使用的是同一台计算机。

最终，如果你的用户没有使用你自己的本地网络，也没有静态IP地址，说这能告诉你他们在使用哪台计算机是不正确的。

如果你想要做的事情是在用户的合作下完成的，每个cookie只有一个用户，他们使用单一的网络浏览器，那就使用cookie。

我将从简单到复杂给出我的想法。 在上述所有情况下，您可以创建会话，问题本质上转换为匹配会话与请求。

A)(困难:简单)使用客户端硬件显式存储某种类型的会话id/哈希(有相当多的隐私/安全问题，所以确保你哈希任何你存储的东西)，解决方案包括:

cookie存储 浏览器存储/webDB/(更奇特的浏览器解决方案) 有权限将东西存储在文件中的扩展名。

上面的问题是，如果用户不想的话，他可以清空他的缓存。

b)(难度中等)登录认证。 大多数现代web框架都提供了这样的解决方案，核心思想是让用户自愿地识别自己，这很简单，但在架构上增加了复杂性。

上述内容的复杂性增加，本质上是非公开内容。

c)(困难:困难-研发)基于元数据的识别，(浏览器ip/语言/浏览器/和其他隐私侵犯的东西，所以一定要让你的用户知道，否则你可能会被起诉) 非完美解决方案可能会变得更加复杂(用户以特定频率输入或使用特定模式的鼠标?你甚至可以应用ML解决方案)。 声称的解决方案

这是最强大的，因为用户甚至可以在没有明确要求的情况下识别他。这是对隐私的直接侵犯(参见GDPR)，并不完美。IP可以改变。

与前面的解决方案一样，cookie是一个很好的方法，但要注意它们可以识别浏览器。如果我先用火狐浏览器访问一个网站，然后再用ie浏览器访问，两次访问都会分别存储cookie。一些用户也禁用cookie(但更多的人禁用JavaScript)。

另一种需要考虑的方法是IP和主机名标识(请注意，对于拨号/非静态IP用户，这些可能有所不同，AOL也使用通用IP)。然而，由于这只识别网络，这可能不像cookie那样工作。

我猜结论是我不能通过编程唯一地识别一台正在访问我的网站的计算机。

I have the following question. When i use a machine which has never visited my online banking web site i get asked for additional authentification. then, if i go back a second time to the online banking site i dont get asked the additional authentification. reading the answers to my question i decided it must be a cookie involved. therefore, i deleted all cookies in IE and relogged onto my online banking site fully expecting to be asked the authentification questions again. to my surprise i was not asked. doesnt this lead one to believe the bank is doing some kind of pc tagging which doesnt involve cookies?

此外，今天在谷歌搜索了很多之后，我发现了以下公司，他们声称出售一种解决方案，可以唯一地识别访问网站的机器。http://www.the41.com/products.asp。

我很感激所有好的信息，如果你能进一步澄清这些相互矛盾的信息，我将非常感激。