Authentication 如果用户访问登录页面,是否应该注销?
我正在开发一个管理系统,遇到了一个我无法找到最佳解决方案的问题。当用户使用有效凭据登录到系统时,登录链接将从页面中删除,他们所能做的就是注销。但是,如果用户访问登录url,会发生什么情况Authentication 如果用户访问登录页面,是否应该注销?,authentication,user-interface,login,user-controls,theory,Authentication,User Interface,Login,User Controls,Theory,我正在开发一个管理系统,遇到了一个我无法找到最佳解决方案的问题。当用户使用有效凭据登录到系统时,登录链接将从页面中删除,他们所能做的就是注销。但是,如果用户访问登录url,会发生什么情况 用户被重定向到上一页/仪表板等 用户注销,必须通过登录页面重新登录 两者都有好处: 用户重定向-如果用户意外访问了登录页面,则他们的工作流程不会因为必须重新登录而中断,并且重定向到管理系统中的某个部分可能对他们有利 用户注销-大多数管理系统的第一个调用端口是通用/admin/login/url或类似端口。如果
- 用户重定向-如果用户意外访问了登录页面,则他们的工作流程不会因为必须重新登录而中断,并且重定向到管理系统中的某个部分可能对他们有利
- 用户注销-大多数管理系统的第一个调用端口是通用/admin/login/url或类似端口。如果有人获得了对用户计算机的访问权并尝试了其中一个URL,则自动将其注销将停止该用户可能进行的任何恶意活动(如果有)
从可用性的角度来看,我倾向于选择选项1。从安全角度来看,选项2更有意义。是否有一个明显的解决方案,我应该选择,甚至是一个我错过了?还是我对它研究得太深入了?就我个人而言,我会选择选项一,这是我期望网站能做的
如果你担心的话,你可以在登录页面上做一个检查,看看他们是否已登录,然后用类似“已登录”的内容替换登录框?继续访问网站或单击此处注销。如果系统使用远程登录,例如通过本地框上的证书,则用户重定向方法非常干净。您的用户可能已将登录URL保存为收藏夹,以便经常返回到您的系统,这是一种很好的处理方法 但是,如果您的系统“超时”/使用过期cookie来处理会话,那么如果合法用户在关闭窗口后离开终端,恶意行为就会容易得多
我建议正确的解决方案取决于您独特的系统,但用户体验选项是更好的选择。
从可用性角度来看,我倾向于选择选项1