Descripción:
Estoy construyendo un sistema de visualización de información. El sistema consta de lo siguiente:
Los usuarios crean cuentas para sí mismos, después de lo cual pueden cargar medios al servidor, crear listas de reproducción y establecer cuál de sus dispositivos usa qué lista de reproducción. Por ejemplo, pueden cargar una imagen, crear una lista de reproducción con la imagen y luego decirle a uno de sus dispositivos que muestre esa lista de reproducción.
Limitaciones:
Solo el usuario que posee los medios o la lista de reproducción puede acceder a ellos.
Las computadoras Raspberry Pi no pueden actuar como servidores, solo pueden hacer solicitudes al back-end.
Las computadoras Raspberry Pi no son utilizadas directamente por el usuario final. No tiene teclado. Idealmente, el usuario simplemente conecta los cables de alimentación y de Ethernet del dispositivo y todo "simplemente funciona".
Cada dispositivo solo puede tener un propietario (o ninguno).
El dispositivo solo recupera listas de reproducción y medios (por ejemplo, imágenes, video) del servidor.
El dispositivo solo puede recuperar listas de reproducción que pertenezcan al propietario del dispositivo.
Problema :
¿Cuál es una forma segura de establecer la propiedad del dispositivo y asegurarse de que un dispositivo solo pueda recuperar listas de reproducción que pertenezcan a su propietario? Obviamente, el dispositivo no tiene el nombre de usuario / contraseña necesarios para acceder a los recursos del usuario de manera normal.
He considerado una solución en la que el dispositivo tiene una ID única que es demasiado larga para adivinar y solo está disponible para alguien que tenga acceso físico al dispositivo.
El usuario podría tomar posesión de un dispositivo agregando la ID del dispositivo a la lista de dispositivos que posee.
Esta ID se pasaría junto con la solicitud del dispositivo para una lista de reproducción, y el servidor le brindará acceso si el propietario de la lista de reproducción y el dispositivo son los mismos.
El problema es que si alguien descubre el ID del dispositivo, podrá tomar el dispositivo por sí mismo o descargar las listas de reproducción de otras personas. La ID del dispositivo tampoco se pudo cambiar.
¿Cuál sería una mejor manera de obtener listas de reproducción del dispositivo? Gracias.