authentication follow是如何设计的?

How is an authentication follow designed?

对于我曾经处理过的许多应用程序。登录成功且会话仍处于活动状态后,如果用户尝试直接使用浏览器地址栏访问 signin/signup 页面,他们将被重定向到仪表板或主页。我只是关注一些现有的应用程序,比如 Goolge。

但是这种流量的主要原因是什么?如果用户在会话仍处于活动状态时仍然可以访问 signin/sigup,是否会带来任何安全风险?

这与其说是安全功能,不如说是一种可用性功能。开发人员付出了一些额外的努力来实现这样的东西。 Here is an example how they do it.

使用单独的登录页面或将用户重定向到另一个页面的决定取决于您对网站的用例或要求。它与您要为用户提供的功能直接相关。

主要是为了带来功能上的分离,登录页面是专门用来登录的,dashboard page或home page是用来展示你的home page的账户详情或其他相关信息的。它还可以用于安全目的。

在功能上,将用户登录和仪表板页面放在同一页面上可能会遇到一些挑战,具体取决于您根据您的用例进行的其他处理。考虑这样一种情况,每当您登录时都会发送一封电子邮件,并且还会根据登录过程进行一些额外的处理。发布页面上的每次刷新都会使用户重新登录。在这种情况下,仪表板页面的每次刷新都会触发一封电子邮件,并且还会执行可能不需要的额外处理。从安全的角度来看,根据您的要求,您可以将 URL 基于 PRG(Post-Redirect-Get) 模式重定向到受限页面或访客用户页面,而不是让未经身份验证的用户登录或基于用户的订阅类型时的主主页。

还应注意,根据您的网站要求,将登录机制集成到主页中也有一个优势,因为它提供了登录的能力,而不会丢失用户正在做的事情的上下文,这完全取决于根据您网站的要求。但是,单独的登录页面的优点是更容易实现,而且对于包含敏感信息的页面,您可以简单地重定向到登录页面,而不必担心在没有上下文的情况下呈现 UI有效会话。

您可能应该查看 "OAUTH2" 或类似的授权(注意不是身份验证)软件,它们可能会传播关于令牌以及谁可能在何时何地使用它们的信息。 (非常阴暗,这就是为什么我要把 link 留在这里,但你真的应该自己深入挖掘)

https://docs.apigee.com/api-platform/system-administration/using-oauth2