Ny autentisering

Vad kriteriet kräver

Om en autentiserad session löper ut mitt i en uppgift måste användaren kunna autentisera om sig och återuppta aktiviteten utan att förlora data de matat in. Formulärfält förblir ifyllda, varukorgen förblir full, det halvskrivna kommentaren förblir utkast.

Hur man uppfyller det

• Spara formulärdata till servern (eller till lokal lagring med en återställningsuppmaning) vid varje meningsfull ändring, inte bara vid inlämning.
• När en session löper ut, returnera ett 401 till API-anropet men behåll användaren på samma sida; rendera en inloggningsuppmaning på sidan snarare än en fullständig omdirigering.
• Efter lyckad ny autentisering, spela upp den ursprungliga åtgärden med den ursprungliga nyttolasten. Användaren ska uppleva det som om inget avbrott skedde.
• För flerstegflöden, spåra framsteg på serversidan kopplat till användarkontot, inte till sessionstoken.

Vanliga fel

• Banköverföringsflöden där sessionens utgång returnerar användaren till inloggningsskärmen och det halvifyllda överföringsformuläret är borta.
• Kommentarssystem där ett långt svar förloras vid en ny autentiseringsomdirigering — vanligt på Reddit, nyhetssajter och forum.
• Flerstegiga myndighetsformulär som förlorar all inmatad data vid sessionens utgång och tvingar till en omstart från sidan ett.
• Kassaflöden där varukorgen överlever men frakt- och betalningsuppgifter måste matas in igen.

Varför det är viktigt

Detta kriterium handlar om att respektera användarens arbete. Att skriva om ett långt formulär är irriterande för alla användare; för någon som använder en skärmläsare, röststyrning eller en kontaktomkopplare kan det innebära ytterligare tjugo till fyrtio minuters arbete — och är ofta anledningen till att de ger upp. De flesta kommersiella sajter uppfyller inte detta ännu, men molnproduktivitetsappar (Google Docs, Office 365, modern bankverksamhet) har till stor del löst detta genom autosparning kombinerat med bakgrundsautentisering.