Как анонимному пользователю которому не присваивается постоянного уникального идентефикатора, дать его эквивалент, позволяющий сторонним сервисам модифицировать настройки его профиля которые не хранятся на сервере, а только в печеньках?
Разрабатываю сервис автоматической переадресации на основе пользовательских правил. Основу с тем насколько гибкими должны быть правила что бы пользователей не нагнули, вроде продумал. Но есть один нюанс без которого свободы будет недостаточно.
Идея состоит в том что любой пользователь, даже анонимный, то есть тот чьи настройки хранятся исключительно в «печеньках», может с другого устройства или сервиса активировать временный патч для правил, который добавит в них дополнительные строки и позволит грубо говоря смотреть порно, не прописывая явно в свои правила порнохостинги. При том набор правил никак не должен выдавать то что к нему возможно подключать временные патчи и никак не должен этому препятствовать.
Первоначально я представлял себе реализацию так. Вычисляется хэш правил и в специальном каталоге в /tmp ищется файл с именем соответствующим хэшу в котором находится патч. И у каждого такого патча в заголовке указано время его жизни.
Но, тогда если на нескольких устройствах идентичные правила, например были скопированы, то тогда возможна фиксация того что в какой то момент появился доступ к контенту с определёнными ID.
Другой идеей было то что бы какой то уникальный идентификатор принудительно внедрялся бы данные анонимной учётной записи. Но по сути это означает возможность других сценариев атаки. Например может быть установлен плагин в браузер который будет его постоянно менять. Попытка просмотра такого идентификатора для копирования его в свой «патчер» уже может быть журналируемой активностью.
Полагаю что задача в том виде в котором я её сформулировал нерешаемая. Поэтому сформулирую в другом виде, в более общем.
Нужно что бы подобно тому как в браузере есть приватный режим, так и в том что я задумываю, был бы режим временного подключения патча правил, при этом без захода на специальные сайты. В идеале сценарий такой. Человек на своём личном смартфоне вводит в приложении или на каком то стороннем сайте код, и пока окно там активно, в браузере на ПК которым он пользуется, происходит временный патч правил переадресации на сервисе.
Пока что есть только идея того, что бы была специальная страница с (QR-)кодом сканирование которой даёт управление. Но опять же. Встаёт задача идентификации анонимных пользователей. У нас есть только текст правил переадресации из их «печенек», никаких логинов или прочих уникальных ID явно в печеньках или на сервере сохраняемых.