Security 如何设计认证跟踪?
对于我曾经处理过的许多应用程序。成功登录且会话仍处于活动状态后,如果用户试图直接使用浏览器地址栏访问登录/注册页面,他们将被重定向到仪表板或主页。我只是关注一些现有的应用程序,比如GoolgeSecurity 如何设计认证跟踪?,security,software-design,Security,Software Design,对于我曾经处理过的许多应用程序。成功登录且会话仍处于活动状态后,如果用户试图直接使用浏览器地址栏访问登录/注册页面,他们将被重定向到仪表板或主页。我只是关注一些现有的应用程序,比如Goolge 但这种流动的主要原因是什么?如果用户在会话仍处于活动状态时仍可以访问signin/sigup,是否会带来任何安全风险?这与其说是安全功能,不如说是可用性功能。开发人员投入了一些额外的努力来实现这样的东西 这与其说是安全功能,不如说是可用性功能。开发人员投入了一些额外的努力来实现这样的东西 使用单独的登录页
但这种流动的主要原因是什么?如果用户在会话仍处于活动状态时仍可以访问signin/sigup,是否会带来任何安全风险?这与其说是安全功能,不如说是可用性功能。开发人员投入了一些额外的努力来实现这样的东西 这与其说是安全功能,不如说是可用性功能。开发人员投入了一些额外的努力来实现这样的东西 使用单独的登录页面或将用户重定向到另一个页面的决定取决于您对网站的用例或要求。它与您希望向用户提供的功能直接相关 它主要是为了实现功能分离,使登录页面专门用于登录,仪表板页面或主页显示您主页的帐户详细信息或其他相关信息。它也可以用于安全目的 从功能上讲,基于您根据用例所做的其他处理,在同一页面上设置用户登录和仪表板页面可能有其自身的挑战。考虑一种情况,当您登录时,电子邮件应该被发送,并且还基于登录过程进行一些额外的处理。发布页面上的每次刷新都会让用户重新登录。在这种情况下,仪表板页面的每次刷新都会触发一封电子邮件,并进行可能不需要的额外处理。从安全角度来看,根据您的要求,您可以基于(Post redirect Get)模式将URL重定向到受限页面或来宾用户页面,而不是在未经身份验证的用户登录或基于用户的订阅类型时使用主主页
还应注意的是,基于您的网站要求,将登录机制集成到主页中也具有优势,因为它提供了登录的能力,而不会丢失用户正在做的事情的上下文,这完全取决于您网站的要求。但是,单独的登录页面具有易于实现的优点,并且对于包含敏感信息的页面,您可以简单地重定向到登录页面,不必担心在没有有效会话上下文的情况下呈现UI。使用单独的登录页面或将用户重定向到另一个页面的决定取决于您对网站的用例或要求。它与您希望向用户提供的功能直接相关 它主要是为了实现功能分离,使登录页面专门用于登录,仪表板页面或主页显示您主页的帐户详细信息或其他相关信息。它也可以用于安全目的 从功能上讲,基于您根据用例所做的其他处理,在同一页面上设置用户登录和仪表板页面可能有其自身的挑战。考虑一种情况,当您登录时,电子邮件应该被发送,并且还基于登录过程进行一些额外的处理。发布页面上的每次刷新都会让用户重新登录。在这种情况下,仪表板页面的每次刷新都会触发一封电子邮件,并进行可能不需要的额外处理。从安全角度来看,根据您的要求,您可以基于(Post redirect Get)模式将URL重定向到受限页面或来宾用户页面,而不是在未经身份验证的用户登录或基于用户的订阅类型时使用主主页
还应注意的是,基于您的网站要求,将登录机制集成到主页中也具有优势,因为它提供了登录的能力,而不会丢失用户正在做的事情的上下文,这完全取决于您网站的要求。但是,单独的登录页面具有易于实现的优点,而且对于包含敏感信息的页面,您可以简单地重定向到登录页面,而不必担心在没有有效会话上下文的情况下呈现UI。您可能应该查看“OAUTH2”或类似的授权(注意不要验证)软件,这可能会传播关于代币的信息,以及谁可能在何时何地使用代币的信息。(非常可疑,这就是为什么我要在这里留下链接,但你真的应该为自己深入挖掘)
您可能应该研究“OAUTH2”或类似的授权(注意不要验证)软件,这些软件可能会传播有关令牌的信息,以及谁可能在何时何地使用令牌的信息。(这很可疑,这就是为什么我要在这里留下链接,但您应该为自己深入挖掘)
这是主观的,取决于您对用户意图的解释。加载注册页面是否意味着他们想创建一个新帐户?这是否意味着他们犯了错误,只是想登录?这两种解释都是有效的。这是主观的,取决于您对用户意图的解释。加载注册页面是否意味着他们想创建一个新帐户-up page表示他们想建立一个新帐户?这是否意味着他们犯了错误,只是想登录?这两种解释都是有效的。