Asp.net ASP保存设备信息以进行双因素身份验证的最佳实践

目前，我正在尝试实现一种设备双因素身份验证，每次用户登录时，如果用户无法识别该设备，则用户必须执行某种双因素身份验证

目前我使用的是

System.Web.HttpBrowserCapabilities

，但是，由于浏览器自动升级，这会带来极大的不便。我很好奇是否有人有更好的方法或任何建议

谢谢

使用

它表示“此用户过去已在此用户代理上成功进行身份验证”

您可能希望包括他们的用户名（或用户id）、时间戳和随机值（nonce）以及该信息的HMAC

---

确保此cookie标记为“安全”（仅HTTPS）和“HttpOnly”（JavaScript无法读取）

用户代理字符串+IP地址的组合（用于推断位置）如何？如果非要我猜的话，我会说像谷歌这样的公司就是按照这些思路做的（尽管可能有点复杂）。您也可以在其中使用cookies。@ADyson IP的change exp with mobile Devices True，但是，至少对于固定线路连接，与它们关联的位置/地区/城市信息应该非常相似，例如，您从类似的服务中获得的信息。我同意，移动设备更难。我没有完整的答案，因此有一个评论。很抱歉延迟。这是我走的路线。泰