Standards · WCAG 2.2

SC 2.2.5 Stufe AAA WCAG 2.0

Erneute Authentifizierung

Wenn eine authentifizierte Sitzung abläuft, müssen Nutzende den Vorgang fortsetzen können, ohne bereits eingegebene Daten zu verlieren. Die Sitzung endet, aber die laufende Arbeit bleibt erhalten.

Was gefordert wird

Wenn eine authentifizierte Sitzung mitten in einer Aufgabe abläuft, müssen Nutzende sich erneut authentifizieren und die Aktivität fortsetzen können, ohne eingegebene Daten zu verlieren. Formularfelder bleiben ausgefüllt, der Warenkorb bleibt befüllt, der halbfertige Kommentar bleibt als Entwurf erhalten.

Wie das Kriterium erfüllt wird

  • Den Formularzustand bei jeder wesentlichen Änderung auf dem Server (oder im lokalen Speicher mit einer Wiederherstellungsaufforderung) sichern – nicht nur beim Absenden.
  • Bei Sitzungsablauf der API-Anfrage eine 401-Antwort zurückgeben, aber die Person auf derselben Seite belassen; ein seiteninternes Anmeldeformular anzeigen statt einer vollständigen Weiterleitung.
  • Nach erfolgreicher erneuter Authentifizierung die ursprüngliche Aktion mit der ursprünglichen Nutzlast wiederholen. Die Nutzenden sollten es so erleben, als hätte keine Unterbrechung stattgefunden.
  • Bei mehrstufigen Abläufen den Fortschritt serverseitig dem Nutzerkonto zuordnen, nicht dem Sitzungs-Token.

Häufige Fehler

  • Überweisungsabläufe im Online-Banking, bei denen ein Sitzungsablauf zur Anmeldemaske zurückleitet und das teilweise ausgefüllte Überweisungsformular verloren ist.
  • Kommentarsysteme, bei denen eine lange Antwort durch eine Weiterleitung zur erneuten Authentifizierung verloren geht – häufig auf Reddit, Nachrichtenseiten und Foren.
  • Mehrseitige Behördenformulare, die bei Sitzungsablauf alle eingegebenen Daten verwerfen und einen Neustart von Seite eins erzwingen.
  • Checkout-Abläufe, bei denen der Warenkorb erhalten bleibt, Versand- und Zahlungsangaben aber erneut eingegeben werden müssen.

Warum das wichtig ist

Dieses Erfolgskriterium respektiert den Aufwand der Nutzenden. Ein langes Formular erneut einzutippen ist für alle lästig; für Menschen, die einen Screenreader, Sprachsteuerung oder ein Schaltergerät verwenden, kann dies weitere zwanzig bis vierzig Minuten Arbeit bedeuten – und ist häufig der Grund, warum sie aufgeben. Die meisten kommerziellen Websites erfüllen dieses Kriterium noch nicht, aber cloudbasierte Produktivitäts-Apps (Google Docs, Office 365, modernes Online-Banking) haben dieses Problem weitgehend durch automatisches Speichern in Kombination mit Hintergrund-Reauthentifizierung gelöst.