首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
华为云
V2EX  ›  程序员

登录信息过期有什么意义?

  •  
  •   fujianjin6471 · 363 天前 · 2616 次点击
    这是一个创建于 363 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不少 App 隔一段时间就会让用户重新输入一次密码,这样做的意义是什么?不这么做有什么隐患呢?

    本人 iOS 开发者一枚,不知道是否该为自己的 App 添加这个行为

    22 回复  |  直到 2017-10-19 14:31:38 +08:00
        1
    annielong   363 天前
    肯定是为了安全,长时间使用本地缓存登陆信息毕竟有风险,当年 Hotmail 的免登陆害惨多少人
        2
    lyragosa   363 天前   ♥ 4
    印象中是怕用户忘密码。
        3
    SvenWong   363 天前
    对于平台的意义就不说了,对于我肯定是有意义的,长期需要重新登陆,密码都特么忘记了,还要去找回密码
        4
    imn1   363 天前
    防沉迷
        5
    MajestySolor   363 天前
    草鸡讨厌这种做法,烦
        6
    Technetiumer   363 天前 via Android
    这应该不只是 App 这样

    如果在公共设备上登录忘了登出怎么办
    设备丢失怎么办
    设备不再手边谁都可以查看怎么办
    缓存时间很长如何知道用户那边还是用户本人
        7
    takanasi   363 天前
    我用过一个会过期但是又自动保存密码的 app
        8
    WuwuGin   363 天前 via Android
    你用不上的场景不代表别人用不上,比如用户完全不懂保护隐私,在闲置很久以后出售设备,忘记登录状态,这时候就能防止被他人登录。
        9
    woyaojizhu8   363 天前
    静止是相对的,运动是绝对的
        10
    66450146   363 天前
    比较常见的做法是不保存密码,登陆的时候给一个 token,这个 token 有一个有效期(一般是几个星期),在接近有效期的时候用这个 token 再申请一个新的(有效期从申请时重算),原 token 作废
        11
    misaka19000   363 天前
    看来你们没有用过掘金的 APP,好像一个礼拜就会自动让你退出登录,然后登录失败不提示任何信息,我不知道到底是密码错了还是网络有问题,总之就是不让你登录,感觉掘金的产品经理应该挺**的
        12
    sobigfish   363 天前
    1 看 app 本身对安全的需求,比如 v2 这种社区,完全没必要啊 但支付 app 支付订单时不验证登录也要验证支付密码,是否登录的设备在常用环境等
    2 过期没问题,如果在过期前进了 app,完全可以刷新下 过期时间 /token
        13
    eminemcola   363 天前 via Android
    把一个永久的登录态存储在客户端的安全风险是比较大的。
        14
    odirus   363 天前 via Android
    不能图方便,最好长远规划一下系统,这就是码农和高级码农的区别。

    采用 token 方案的话,如果初期没什么系统安全性,可以让 token 永久有效;后期如果有安全性要求,可以调整有效期。这样设计,用户可以随时让某台设备退出,系统也可以根据一些风控系统,让异常登陆被强制退出。

    就好比以前我们的一个短信发送接口是没有预留图形验证码的问题一样,后期想在发短信时显示图形二维码,结果老客服端不支持,只能做一些更加费力的方案。
        15
    opengps   363 天前
    你试试,你银行密码登录后不过期多危险
        16
    mingyun   362 天前
    微信不用,已经几年没登陆过微信了
        17
    cuebyte   362 天前
    情景之一:一个小白,手机没锁,丢了。App 如果做不到设备登陆管理的话,过期登陆是最廉价的方式了。
        18
    lancerly   362 天前
    @mingyun 微信有后台的大数据支撑的,当然不单单用你的密码来判断啦
        19
    fujianjin6471   362 天前
    非常感谢大家的建议 O(∩_∩)O
    准备让 token 有效期为 1 个月,如果不合适再调整
        20
    fujianjin6471   362 天前
    @lyragosa 有个说法是忘记密码不要急,只要有完善的找回机制😂
        21
    TheC   362 天前
    嗯...难道不是因为从前大家都用 memcache 存 session,而 memcache 在存数据的时候必须要填一个过期时间吗 XD
        22
    kylix   362 天前
    @TheC 貌似很有道理,我...
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1983 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 21ms · UTC 15:26 · PVG 23:26 · LAX 08:26 · JFK 11:26
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1