Lesspass: Chromeアドオンはランダムにログアウトします

通常、私はJWTトークンを1週間有効になるように構成します。
展開によってトークンの有効性が失われる可能性があります。
これを確認させてください

フィードバックをお寄せいただきありがとうございます

早速の対応、ありがとうございました！

アドオンは通常、個人のデバイスにインストールされ、lesspassアカウントにはパスワードが含まれていないため、トークンが1週間以上有効である可能性があるのではないかと思います。 私は最大6ヶ月の期間を考えています-これはグーグルやフェイスブックのログインに匹敵します。

もう1つのオプションは、「ログインしたままにする」チェックボックスです。

これは小さな機能のように聞こえますが、ワークフローの使いやすさとシンプルさに大きな影響を与える可能性があります。

@ tim-peters少なくとも週に1回アプリを開くと、トークンが更新され、もう1週間使用できます-> https://github.com/lesspass/pure/blob/master/src/store/actions .js＃L10 -L17

調査後、サーバーの再起動後にバックエンドがトークンを無効にする
私はこれを修正しようとします

私にとって、これは依然として最大のユーザビリティの問題の1つです。 私は複数のデバイスでlesspassアドオンを使用しています。 そのため、1つのデバイスでの各使用の間に数日（最大で数週間）かかる場合があります。 トークンの有効期間はわずか1週間なので、マスターパスワードを入力して特定のサイトのパスワードを生成する前に、まずlesspassアカウントにログインする必要があります。 これは、2回ログインする必要があるように感じます。

少なくともトークンの寿命を4週間に延ばすことができますか？ さらに良いのは、それを永続的にするためのチェックボックスを設けることです（ほとんどのサイトの「ログインしたままにする」チェックボックスのように）。
特定のパスワードを生成するたびにマスターパスワードを入力する必要があるため、これはセキュリティに大きな欠点はないと思います。

こんにちは@ tim-peters、
私はその問題についてもっと考える必要があります。 たぶんkeep me logged inオプションか、トークンの寿命を1か月に増やします。 保存されたデータは重要ではありません。 どの解決策が最適かわかりません。

厄介なのは、スマートフォンやラップトップなどの信頼できるデバイスの1つで認証する必要がある場合です。

セッションの寿命を延ばす必要がありますか、それともそのようなデバイスでの認証を容易にする方法を見つける必要がありますか？

私たちのアイデンティティは私たち自身に内在していると思います。サービスにログインするたびに、私がまだ自分自身であることを証明する必要があるのはかなり厄介だと思います。

これについては@ edouard-lopezと@ tim-petersに同意します。トークンを1か月に増やすのは良いことだと思いますが、1年ではないのはなぜですか。

別の解決策は、データ用の「ローカル」ストレージを保持することです。この方法では、サーバーから古いデータをフェッチする必要はありませんが、それほど優れていないと思います。

@guillaumevincentサーバーの再起動後にトークンを保持しようとするかどうかはわかりませんが、そうする場合は、1か月のトークン+セッションの保持が

時々、そして私はほとんどの場合、Lesspassはログイン時間の5-15分以内に私のマスターパスワードから私をログアウトさせます。 ブラウザに問題があるのか​​、lesspassアドオンに問題があるのか​​わかりません。 ブラウザに設定された終了時にクリアローカルストレージとCookieがあります。 これはlesspassに影響しますか？ また、デフォルトの動作は何ですか？ lesspassはブラウザの再ロード時にセッションを維持しますか（上記のように7日以内ですか？）

@ nodejs-practiceのログイン情報はローカルストレージに保存されるため、ローカルストレージをクリアすると、同時に自動的にログアウトします。

+1。 私は多くの異なるブラウザ+ OS +デバイスの組み合わせでlesspass拡張機能を使用していますが、何度もログインしなければならないのは本当に面倒です。

この問題は1年以上開いたままだったので、おそらく私たちの議論の結果を簡単に要約します。

• 重要でないデータにアクセスするためだけに何度も認証しなければならないことは、非常に煩わしいだけでなく、ユーザビリティの重要な問題です。
• 実行可能な解決策は次のとおりです。ログイントークンの有効期間を劇的に延長する（>数か月）、または「ログインしたままにする」オプションを提供することもできます。
• 考えられる短期的な解決策は、オフラインで保存されたデータを保存するための解決策を提供することです。

私は本当にこの問題を優先することをお勧めします（私はそれが非正規または新規ユーザーのための巨大なショーストッパーです）

こんにちは@ tim-peters、
はい、間違いなくこの問題を検討する必要があります。
今年の夏は少し忙しいです（愛らしい女の子のお父さんです）
私はすぐに時間を見つけようとします

ごめんなさい

今日バグに遭遇しました
dockerと.envファイルに関連しています。
dockerを再起動するたびに、バックエンドの秘密鍵が再生成されます。

私はこれをできるだけ早く修正します

lesspassを毎日使用するのが大好きですが、AndroidクライアントとChromeクライアントが同じバックエンドに依存しているため、この問題は非常に厄介だと思います。両方のクライアントで同じ問題が発生しました。

そうそう、私はこの方向で調査することができます。 それで、基本的にAndroidアプリで自分自身を認証し、Web拡張機能で再度認証するように強制しますか？

@guillaumevincent問題は、ランダムにログアウトすることです。

あなたが説明した問題を試しましたが、Chrome拡張機能にログインしてAndroidアプリからログアウトし、Androidアプリにサインインしましたが、Chrome拡張機能に接続したままなので、この問題が発生しているようです。

それについて調査してくれてありがとう。

@guillaumevincentがユーザーにログインし直す必要があることを伝えると、フォームへの入力をすぐに開始し、オフラインであることに気づき、最初からやり直す必要があるため、フラストレーションを軽減できる可能性があります。
たとえば、ログインを提案する上部のバナー？

ふむ、コンテナを再起動した後でもトークンが正しく機能するようにしたいと思います。 コンテナ内のPythonモジュールを更新して、改善があるかどうかを確認します

https://github.com/lesspass/lesspass/commit/7750813ebe5a77c36dd7eb1dd63647b672f3dce3で修正され
ありがとうございました

残念ながら、これはまだ修正されていないようです（反対に、私の主観的な印象はさらに悪化したということです）。

ブラウザアドオンの1つを使用するたびに、ほぼ毎秒再認証する必要があります。
これは、（UXの観点から）パスワードマネージャーがまったくないのと同じくらい不便だと感じるのでイライラします（唯一の違いは、毎回個別のパスワードを入力する必要はありませんが、認証するためのパスワードをlesspassplusに入力する必要があることです個々のパスワードを生成するためのマスターパスワード）。

レスパスサーバーに保存されているクレデンシャルは、マスターパスワードがないと意味がありません。 したがって、これらは実際には機密データではないと主張します（プライバシーではなくセキュリティの観点から）。 したがって、ここでは使いやすさが主な焦点となるはずです。 最良のケースは、一度だけ認証する必要があり、その後は常にマスターパスワードだけですべての個別のパスワードを生成できることです。

アドオンが常にパスを減らすために再認証を要求するのをやめてください。 これは本当に迷惑です:)

@ tim-peters私にくれませんか：

• ブラウザ名とブラウザのバージョン
• ブラウザ拡張機能のバージョン

私はLessPassWeb Extension9.2.0を搭載したFirefox79.0を使用しています

認証後にWeb拡張機能を再度開くと、再度認証する必要はありません。

今日の実際の動作は次のとおりです。

少なくとも週に1回LessPassを使用すると、永久に認証されます。https： //github.com/lesspass/lesspass/blob/master/containers/backend/lesspass/settings.py#L132-L134を参照して

@guillaumevincent昨日認証した後、ログインは今朝も持続していました。 しかし、今日、日中、すべてのデバイス/アドオンで何度か再認証する必要がありました。

あなたが「実際の行動」と表現するようになることを願っています。

私が使う：

• Firefox79.0上のLessPassWeb Extension 9.2.0
• Chrome84.0.4147.125上のLessPassWeb Extension 9.2.0
• Android9上のLessPassAndroidアプリ9.1.10（Xiaomi Mi6）

これは本当に奇妙です、あなたはあなたのローカルストレージをきれいにするウェブ拡張機能を持っていますか？

私が知っていることではありません。 そして、これは私のウェブブラウザの拡張機能を説明するだけで、Androidアプリは説明しませんよね？

@guillaumevincent

さまざまなブラウザやデバイスで徹底的にテストした後でも、1週間も経たないうちにLesspassからランダムにログアウトされると言っても過言ではありません。 次に、サイトやユーザー名などの重要ではないデータにアクセスするためだけに、クレデンシャルを再度入力する必要があります。 それはまったく意味がなく、本当に迷惑です。

そして再び：1週間でさえも短くする方法です。 このような重要ではないログイン（自動的にログアウトされる前）の標準は、3か月から2年の間です（例としてFacebookまたはGoogleを取り上げます）。
または、人々がさまざまなデバイスを使用するユースケースを考えてみてください。 特定の個人用デバイスを週に1回未満使用しないのは絶対に正常です。

自動ログアウト時間を大幅に長く設定することを検討してください。 それは全体的なUXを大幅に改善するでしょう！

+1。 これが、私が実際に時々別のアプリケーションに移行することを検討している唯一の理由です。 重要でない情報を取得するためだけに毎回認証する必要があるのは、本当に苛立たしいことです。

同じ欲求不満を共有し、アプリの使用を非実用的にします。

@Laski @canercandan問題を修正できれば幸いですが、再現できません。

私があなたを正しく理解していれば、あなたは時々断絶しますよね？

ワークフローは次のとおりです。

• Chromeで拡張機能を開き、ログインします
• 拡張機能を閉じます
• ログインした直後に拡張機能を再度開く
• 少し待ちます（少なくとも15分）
• 拡張機能を再度開くと、再度ログアウトされます

@guillaumevincentそれは15分よりも数日のようなものです。

それが役立つ場合：拡張機能をクリックしたとき：

• Webサイトのクレデンシャルが正しく設定されており、レイアウトにはログインしていることが示されています
• 約500ミリ秒後、レイアウトが変更され、ログアウトしたことが示されます（更新トークンが失敗した場合など）
• クレデンシャルはまだ存在しており、現在のWebサイトで1回認証できます

7日でいいですか？

https://github.com/lesspass/lesspass/blob/master/containers/backend/lesspass/settings.py#L146

約500ミリ秒後、レイアウトが変更され、ログアウトしたことが示されます（更新トークンが失敗した場合など）

ああ、私には考えがあると思います。

コンポーネントをマウントする前に、パスワードプロファイルを取得しようとします。

  beforeMount() {
    this.$store.dispatch("getPasswords");
  },

更新トークンが無効であるため（7日後）、APIがエラーを返した場合、ログアウトします。

https://github.com/lesspass/lesspass/blob/master/packages/lesspass-pure/src/store/actions.js#L52

これが、この小さなグリッチが認証され、認証されていないのに表示される理由ですが、トークンを更新したため、引き続き機能します。

https://github.com/lesspass/lesspass/blob/master/packages/lesspass-pure/src/api/http.js#L18 -L52

私はこれをできるだけ早く修正するつもりです。

この悪いコードをお詫びします。

ありがとう@jdeniau

@guillaumevincent 7日かもしれませんが、よく

私のコメントが役に立ったらいいです！ あなたは素晴らしい仕事をしています、謝罪する必要はありません👍

ChromeストアとFirefoxAMOに新しいバージョンをプッシュしました

迅速な修正をありがとう！ 良い仕事を続けてください

どうもありがとう@guillaumevincent！ あなたは素晴らしい仕事をしています！

：heart：今回は正しく修正したことを願っています