AL
ещё она неудобна, когда есть требования по длительности сессии пользователя, а доступ к почте представляет из себя отдельный головняк в виде VPN
Size: a a a
2019 May 06
AO
эти проверки обычно делают на клиенте, просят ввести не пароль, а некий другой код
AO
например, вот тот с 2FA
AO
то есть это не пароль для входа, это некий отдельный пароль/код
AL
я просто смотрю на это через призму 5 лет работы в японской компании с их паранойей и устаревшими взглядами
AO
в данном случае можно на клиенте сделать проверку "долго не было активности - заблокировать приложение и требовать ввести код с OTP-системы, из приложения на телефоне"
AO
то есть запрашивать эти 6 цифр, а не обычный пароль
AL
можно конечно, так было бы красивее и правильнее
AO
при желании можно даже на сервер отправлять информацию о том, что токен временно заблокирован
AO
добавлять его в блеклист с пометкой о необходимости разблокировки с помощью OTP
AO
если есть недоверие к клиенту, что пользователь полезет js править
AL
в идеале так и надо, клиент — такая себе по надежности штука
AO
как пользователь я не люблю ограничение длительности сессии
AL
а я как инженер — люблю. слишком часто вижу незаблокированные компьютеры и пароли на листочках
AO
да просто штрафовать за это
AO
и всё прекратится
AL
ну, это уже вне моей компетенции. дальше автоматической блокировки дело не пошло, да и то с очень на мой взгляд большим тайм-аутом
AO
я дома, работаю с условной важной системой, я хочу иметь возможность открыть вкладку, поработать утром, потом уйти куда-нибудь на 2 часа и вернувшись продолжить работу
AO
я не хочу перезаходить, я в безопасном месте
AO
я не хочу перезаходить, я в безопасном месте
и с каждым годом всё больше людей, которые работают на удалёнке)