適用 (対象)
データを送信するのに、利用者認証を求め制限時間のあるウェブページ
これは達成基準 2.2.5: 再認証 (書かれていない達成方法を満たす慣習的な達成方法) に関する達成方法である。
解説
利用者に認証を求めるウェブサーバーは、一定時間、利用者の操作がない場合、セッションを終了することがよくある。利用者が素早くデータを入力できず、送信前にセッションがタイムアウトになった場合、プロセスの続行前にサーバーから再認証が求められるだろう。この場合、利用者がログインしている間、サーバーは一時キャッシュの中にデータを保存し、利用者が再認証されると、データがキャッシュから利用可能になり、まるでセッションのタイムアウトがなかったかのようにフォームを処理する。サーバーはキャッシュを無期限に保持するのではなく、例えば 1 日など、利用者の単一セッション中の再認証後の成功を保証するのに十分な長さだけキャッシュを保持する。
事例
- あるフォーラムを利用するために利用者がログインし、投稿に回答する。回答の書き込みにかかる時間は、サーバーから許可されている不操作セッション時間よりも長いとする。利用者は回答を送信すると、セッションのタイムアウトが通知され、回答の送信のために再度ログインするよう促された。利用者の回答はサーバーに保存されており、ログインが成功する場合に通常通り回答が処理される。ログインが正常に完了できない場合、回答は破棄される。
- セキュリティが保護されたエリアに利用者がログインし、フォームに入力している。セキュリティ上の理由のため、セッションがタイムアウトになった。フォームデータはサーバーに保存され、利用者にはタイムアウトが通知され、再ログインが促される。利用者が正しくログインする場合、全てのデータが以前に入力された状態でフォームが表示される。ログインが正常に完了できない場合、フォームデータは破棄される。
検証
手順
データの送信にあたって利用者にログインを求めるサイトについて:
- ログインし、制限時間のある操作を始める。
- セッションをタイムアウトさせる。
- データを送信する。
- 再認証する。
- 元のデータ及び再認証後の変更内容を含めた、データの損失なしに、プロセスが継続可能して完了できることを確認する。
期待される結果
- 5. の結果が真である。