这确实是用户设备不受管控场景下的一个棘手问题——毕竟没法限制用户用什么设备、做什么操作，要验证物理位置得结合多种手段互补，单纯靠某一种很容易被绕过。结合课堂签到这类场景，我整理了几个实用的思路：

1. Wi-Fi网络特征验证 #

• 核心逻辑：特定场地（比如教室）的Wi-Fi AP的MAC地址、SSID、信号强度是相对固定的，用户设备连接该Wi-Fi时可以获取这些信息提交给服务器。
• 落地方式：提前采集场地内的合法Wi-Fi特征库（重点记录核心AP的MAC地址，因为SSID容易被伪造），签到时要求用户设备扫描周边Wi-Fi，提交匹配的结果。可以设置规则：至少匹配1-2个专属AP的MAC才算有效。
• 优劣势：操作简单，用户只要连场地Wi-Fi就能完成；但如果用户懂技术，可能用虚拟网卡伪造MAC地址——不过课堂场景下，大部分普通用户不会折腾这个。另外要注意排除同一建筑内的共享Wi-Fi，只保留场地专属的AP。

2. 蓝牙Beacon近场验证 #

• 核心逻辑：在场地内部署低功耗蓝牙Beacon设备（比如iBeacon），它会广播唯一的UUID和信号强度，用户设备只有在10-20米范围内才能收到稳定信号。
• 落地方式：签到时让用户开启蓝牙，网页/APP扫描指定UUID的Beacon，验证信号强度是否在有效范围内。如果部署多个Beacon，还能通过三角定位缩小验证范围，防止用户在场地边缘刚好搜到信号。
• 优劣势：定位精度比Wi-Fi高，很难远程伪造；但需要额外采购部署硬件，而且网页端的蓝牙访问需要用户授权，部分老版本浏览器可能不支持。

3. 动态场景验证（视觉/音频） #

• 核心逻辑：利用场地内的临时动态特征，只有现场用户才能获取，比如投影在屏幕上的随机验证码，或者播放的独特音频片段。
• 落地方式：
  • 视觉版：签到前在教室屏幕展示一个一次性随机字符串/二维码，用户必须现场看到才能输入或扫描完成验证；
  • 音频版：播放一段只有场地内才能听到的音频（比如人耳不易察觉的高频音，设备可录制），让用户设备采集后提交给服务器比对。
• 优劣势：几乎无法远程作弊，因为动态内容是实时生成的；缺点是需要授课者配合操作，用户步骤稍繁琐，但课堂场景下完全可行。

4. 地理定位（辅助手段） #

• 核心逻辑：利用设备的GPS或基站定位获取大致位置，和场地的经纬度范围对比。
• 落地方式：设置一个合理的地理围栏（比如半径50米），签到时通过网页的Geolocation API获取用户定位，判断是否在围栏内。
• 优劣势：无需额外硬件，实现成本低；但精度差，室内GPS信号弱，基站定位误差可能达几百米，而且很容易被虚拟定位软件绕过——所以只能作为辅助验证，不能单独使用。

5. 多因子组合验证 #

• 核心逻辑：把以上2-3种手段结合起来，提高作弊门槛。比如要求用户连接指定Wi-Fi + 输入现场验证码，或者蓝牙Beacon + 地理定位。
• 落地方式：服务器端设置验证规则，必须满足至少两种条件才算签到成功。比如课堂场景下，要求用户扫描到指定Beacon，同时输入屏幕上的随机验证码，这样远程作弊的难度就大大提升了。

其实没有绝对完美的方案，毕竟设备不受管控的情况下总能找到绕过的方法，但结合场景选择合适的组合，足以应对绝大多数普通用户的作弊行为。课堂场景下，动态验证码+Wi-Fi验证的组合成本低、效果好，是比较推荐的方案。

内容的提问来源于stack exchange，提问作者Ng Oon-Ee