为什么用户修改完密码后还要重新登录
今天在一个群里突然说到了这个问题,我自己尝试思考得出的答案是:
1、重新登录是为了加强用户对密码的记忆。
用户设置完密码后,虽然大多数都是两次密码确认一致后才会修改,但是让用户再次输入修改好的密码进行登录能更加加固用户对新密码的记忆。
2、尊重用户
尊重用户也是产品的一个原则,需得到用户的相应授权后方可执行相应的操作。从流程上说,修改密码和登录是两个互不相干的流程,前者是变更用户信息(密码),后者是标记用户的在线状态。而用户修改完密码时仅仅是授权系统去修改密码,而没有明确授权去登录。(虽然大多数用户修改完密码后是要去登录的,就类似网站的使用协议一样,需要尊重用户的知情权,让用户勾选同意协议方可进行下一步操作)
3、安全问题(群友补充)
登录流程是改密流程是不同的流程。
登录是用户携带一个动态的钥匙(有时效)去服务端验证,验证通过后会给予用户相应的权限。
改密是用户通过一定手段获得修改密码的权限进行修改密码。
重新登录是防止恶意攻击。
假设有A正常使用者,B恶意攻击者。A修改密码后需要重新登录,这即可把B踢下线,达到安全防护的效果;若A修改密码后不需要重新登录,那B也会用着旧密码在线,拥有着该账号的权限,则会影响正常用户A的使用。