无需 JavaScript 即可自动注销？这种解决方案的含义是什么？

Question

所以我需要为 WordPress 实现自动注销功能。对于 JavaScript，这似乎很简单；

• X 分钟后提示 idle (jQuery.nap)，交替
• 如果 Y 秒后没有确认，则运行 logout

看到自动注销功能是安全性的，这是否认为有必要采用无 JavaScript 后备方案？

如果是这样，我能看到的唯一解决方案就是存储 &比较连续请求的访问时间，但我已经看到的警告是；

• 它不再是“空闲”时间（用户实际上“离开”的时间），而只是每次页面加载之间的时间。
• 如果用户离开，当前页面上的任何内容都将无限期地受到攻击，直到下一个请求触发注销为止。

为了论证起见，我可以说服务器端解决方案可以在请求之间的 Z 小时后注销，而不是 JavaScript 的更短时间？

您对此事有何看法以及我提出的解决方案？

Answer 1

在我看来，使用 Javascript 来实现这一点充其量也是不稳定的。如果威胁是用户在登录时离开计算机，然后攻击者走上来并在他的帐户上做坏事，那么攻击者很可能在走近计算机时禁用 JavaScript。当然，除非攻击者到达那里时计时器已经到了。但这意味着计时器必须非常短。

我不了解你，但我讨厌几分钟后自动注销你的网站。在我看来，这是一个巨大的麻烦，但安全效益却微乎其微。对我来说，这似乎不是一个现实的威胁：有人跟踪您的一位用户，而该用户恰好在公共场所，使用一个重要帐户，然后离开，留下计算机无人看管？

更现实的威胁是，连接本身会被某人在没有实际注销或其他情况下退出浏览器的情况所劫持。服务器端超时可能一个小时会很有用。