如果不选择记住登陆,关闭标签页应不应该退出登陆?
我们组最近在做一个商城的网站,后端的程序员提出了一个实践,说是登陆的时候如果不选择“remember me", 那么当你关闭标签页或者关闭浏览器的时候要清空session,用户应该退出登陆。再次打开页面的时候要重新输入用户名密码进行登陆。
我测试了淘宝和amazon,没有人是这么干的,没听说过,关闭标签页就要退出登陆的。这个是行业公认的实践吗?是我孤陋寡闻了吗?
回答:
session 生命周期的 cookie,会在关浏览器的时候清空,所以默认情况下关浏览器就表示退出
关 tab 就比较难,因为存在多个 tab 的情况,除非特殊需要否则不会做到这一级
(曾经接触过的一个产品有类似的逻辑,甚至做了一个用户只能登录一个浏览器 tab 的限制)
回答:
如果不做的话会有什么问题
想象这么一个场景:
你在图书馆或其他地方的公用电脑上登录帐号,离开的时候只关闭了浏览器而没有退出登录,那么其他人再打开这个网站的时候,就能以你的身份访问。
应不应该做
这个取决于你们商城的安全要求怎么样,我认为还是得由产品经理评估决定嘛。不一定淘宝和 Amazon 没做,不做就是对的。
如果提供了「记住我」这个功能,那么最好这样做咯,不然这个功能是什么意思呢?
怎么做
如果你们使用 Cookie 来保存登录状态,在不勾选「记住我」的时候,不给 Cookie 设置过期时间,那么默认就是会话级别的,关闭浏览器就自动失效了。如果使用了 Token 类保存登录状态,存在 Session Storage 就好了。
以上是 如果不选择记住登陆,关闭标签页应不应该退出登陆? 的全部内容, 来源链接: utcz.com/p/944967.html
