Genautentificering

Hvad kriteriet kræver

Hvis en autentificeret session udløber midt i en opgave, skal brugeren kunne re-autentificere og genoptage aktiviteten uden at miste data, vedkommende har indtastet. Formularfelter forbliver udfyldt, indkøbskurven forbliver fyldt, den halvskrevne kommentar forbliver i kladde.

Sådan lever du op til det

• Gem formularindhold til serveren (eller til lokal lagring med en gendannelsesprompt) ved enhver meningsfuld ændring, ikke kun ved indsendelse.
• Når en session udløber: returnér en 401 til API-kaldet men behold brugeren på samme side; vis en login-prompt i siden frem for en fuld omdirigering.
• Efter vellykket re-autentificering: afspil den oprindelige handling med den oprindelige nyttelast. Brugeren bør opleve det som om ingen afbrydelse fandt sted.
• For flertrins-flows: spor fremskridt server-side tilknyttet til brugerkontoen, ikke til sessionstokenet.

Typiske fejl

• Bankoverførselsflows, hvor sessionens udløb sender brugeren til loginskærmen og det delvist udfyldte overførselsformular er væk.
• Kommentarsystemer, hvor et langt svar mistes ved en re-autentificeringsomdirigering — udbredt på Reddit, nyhedssider og forums.
• Flertrins-offentlige blanketter, der mister alle indtastede data ved sessionens udløb og tvinger en genstart fra side et.
• Checkout-flows, hvor kurven overlever, men forsendelse- og betalingsoplysninger skal genindtastes.

Hvorfor det er vigtigt

Dette succeskriterium handler om at respektere brugerens arbejde. At genindtaste en lang formular er irriterende for enhver bruger; for én der bruger en skærmlæser, stemmestyring eller en switch-enhed, kan det betyde yderligere tyve til fyrre minutters arbejde — og er ofte grunden til, at de giver op. De fleste kommercielle websteder lever endnu ikke op til dette, men cloud-produktivitetsapps (Google Docs, Office 365, moderne bankløsninger) har i stor udstrækning løst det via auto-gem kombineret med baggrunds-genautentificering.