权限设计问题

token ？

使用前，人脸识别来一波。

证书

想灵活现今还真要人脸一波，其它证书 uKey 等都可以外接，

不用账号吗

vpn

401 Auth Basic

做不到，我网银都可以借给别人用，你能咋滴

加密狗？

“禁止给其他第三方的用” 太宽泛了
假设合作伙伴 B，第三方 C
你要做到：允许 B 访问，而不允许 C 访问，即使 B 做出再大的帮助。
只看原题可能会开始想办法，但其实应该先想边界。
举个几乎不能检测的例子：如果是 C 电话指挥 B 操作并把显示的内容报过去呢？

不太懂，给他一个账号？用这个账号登录就是他本人啊。

你们连个账户系统都没有？

生物特征认证

或者按使用分钟收费，反正给谁用都一样收费。

license

如果你只是想限制谁能访问谁不能访问，这是访问授权问题。如果你想控制已授权用户的行为，那是权限控制问题。

从 LZ 的描述，是前者？那就用黑白名单的方式解决了。iptable 不方便的话，把系统部署到一个子网里，访问者通过 VPN 到子网然后使用，通过分发密钥来授权用户。如果系统可以自己开发的话，搞个登录程序就可以了，有账户密码的人才能访问。有多难？

合同里写明不给第三方用，违反合同就赔偿，金额定高点。然后时不时找个人去钓鱼。至少让他们知道给三方用有风险，或者可以主动规制。

除非用摄像头，时刻监控为本人操作
然后白名单允许操作系统的人

密码+手机验证码登录，90 天强制修改密码，必须使用 vpn 进入网络

用户认证！
权限只应跟用户角色有关，不应该和访问方式有关。

就是授权管理吧？
server 端控制喽，提取安装机的 id 信息 server 启动时验证

另外，保存好访问日志。谁把自己的帐号借出去谁对泄密负责！

软件总不能识别用的人是谁吧，所以最多就是和机器绑定，比如加密狗、绑定主机序列号这些

帐号权限+VPN，不行么？

IP 呗，外出 VPN

证书双向认证

绑定 mac+vpn+账户认证

现在人脸识别很成熟的啦 一次成本最多几毛钱应该就有了