是否有跨浏览器窗口跟踪用户会话的常见做法？

Question

我正在编写一个网站，本质上是一个客户端 Web 应用程序，即页面上的所有内容均由带有来自 ajax API 的数据的脚本填充。用户还可以使用一组 API 进行登录和注销。

我的问题是如何处理以下（但不是很极端）用例：

1. 用户打开浏览器选项卡 A 并转到网站并以用户 #1 身份登录。
2. 用户打开浏览器选项卡 B 并访问该网站。由于存在 get_session API，因此该脚本会恢复选项卡 B 上的会话。
3. 用户从选项卡 B 注销，同时选项卡 A 保持打开状态。
4. 用户有时会忘记选项卡 A，然后返回并与选项卡 A 进行交互。
5. 选项卡 A 中的脚本尝试以用户 #1 的身份获取新数据，但遇到错误。

理想情况下，在步骤 3 中应该有某种方式，当用户单击选项卡 B 中的“注销”时，选项卡 A 也会自行注销。

可以在步骤 5 中注销选项卡 A（GMail 就是这样做的），但我认为应该有一个更好的方法。即使在步骤 5 中进行检查也很重要，因为这样的设计每个 API 都必须准确知道脚本正在请求哪个用户的数据，否则下面的用例将生成不正确的输出。

(1-3)同上。

1. 用户打开浏览器选项卡 A 并转到网站并以用户 #1 身份登录。
2. 用户打开浏览器选项卡 B 并访问该网站。由于存在 get_session API，因此该脚本会恢复选项卡 B 上的会话。
3. 用户从选项卡 B 注销，同时选项卡 A 保持打开状态。
4. 用户从选项卡 B 再次登录，但这次以用户 #2 身份登录。
5. 用户返回选项卡 A 并进行交互。当认为用户是用户 #1 时，选项卡 A 中的脚本从 API 请求数据。
6. API 返回属于用户#2 的数据。 繁荣。

是否有预防此类问题的常见做法？谢谢。

蒂姆

Answer 1

ajax 响应应指示用户已注销作为错误条件；在客户端，检测此错误并执行适当的操作。显然，这只在有 ajax 响应时才有效，因此您可能想要实现某种“心跳”机制，即客户端每隔几秒向服务器发送一条类似 ping 的 ajax 消息。当您注销时，服务器将以“用户已注销”错误响应心跳，并且客户端可以进入“未登录”模式。

Answer 2

我认为不存在，因为页面（选项卡）之间的这种通信将是一个重大的安全漏洞。
但是，您可以通过让每个页面（选项卡）轮询服务器以查看会话是否仍然有效来实现相同的效果。或者使用一种事件处理技术，例如长轮询或在 iframe 中进行流式处理。