Como controlar acesso de usuários não-logados?

Estou desenvolvendo um SaaS e gostaria de oferecer 10 usos grátis para usuários não-logados. Problema: Se o usuário não estiver logado, como posso contar seu uso?

Alguém já viu algo semelhante? Se não tenho um ID de usuário, onde posso fazer a contagem de quantos usos ele já fez?

Pensei em:

  • Usar cookies no navegador
  • Usar o IP do usuário, como se fosse o ID do usuário

Sei que qualquer programador vai conseguir burlar esse mecanismo, mas tudo bem. Não preciso de uma solução perfeita. Mas também não quero avacalhar.

Alguma dica?

iorjuniorhá 2 anos

Acredito que IP, precisa ser algo único de cada dispositivo. Mas se eu tivesse fazendo algo do gênero, eu obrigaria o usuário a logar e aí eu teria muito mais controle sobre o uso dele.

FelipeLChá 2 anos

Boa tarde, Goularte!

Então, eu acredito que não exista uma bala de prata pra isso. O que eu posso te recomendar são duas coisas:

  1. Salvar o IP de quem fez o acesso (é o mais comum);
  2. Tentar coletar o maior número de informações disponíveis do usuário em questão (Fingerprint¹).

Mas é aquilo, sempre vai existir uma forma de burlar isso, porque tudo isso está passível de Spoofing² infelizmente só com autenticação.

¹O device fingerprint ou, em português, a impressão digital do dispositivo é um método para identificar um dispositivo utilizando uma combinação de atributos fornecidos pela configuração do dispositivo e de que forma será usado.

²O termo spoofing vem do verbo em inglês spoof (imitar, fingir), que em Tecnologia da Informação é um jargão usado para falsificação. Em geral, o termo descreve o ato de enganar um site, um serviço, um servidor ou uma pessoa afirmando que a fonte de uma informação é legítima, quando não é.
Bluhá 2 anos
Coletar fingerprint pode ser um problema caso o usuário esteja usando algum recurso para bloquear este tipo de coleta, por exemplo, o Firefox disponibiliza uma função que faz este tipo de bloqueio.
FelipeLChá 2 anos
Pois é, tem essa também.