# Vue關閉瀏覽器退出登錄的實現方案
## 引言
在Web應用開發中,用戶會話管理是安全體系的重要組成部分。傳統的前端登錄狀態保持通常依賴于Cookie或LocalStorage,但這些方式在瀏覽器關閉時可能不會自動清除,存在安全隱患。本文將深入探討在Vue.js項目中如何實現關閉瀏覽器時自動退出登錄的完整解決方案。
## 一、瀏覽器會話機制解析
### 1.1 會話級存儲 vs 持久化存儲
- **SessionStorage**: 瀏覽器標簽頁級別的存儲,關閉標簽頁即清除
- **LocalStorage**: 持久化存儲,需手動清除
- **Cookie**:
- 會話Cookie(無Expires/Max-Age): 瀏覽器關閉時清除
- 持久化Cookie: 需設置過期時間
### 1.2 瀏覽器關閉事件監聽限制
現代瀏覽器出于安全考慮,嚴格限制了`beforeunload`和`unload`事件的可靠性:
- 不允許同步XHR請求
- 許多異步操作可能無法完成
- 移動端瀏覽器支持度更低
## 二、基于會話Cookie的方案(推薦)
### 2.1 服務端配置
```javascript
// Express示例
app.post('/login', (req, res) => {
res.cookie('auth_token', token, {
httpOnly: true,
secure: process.env.NODE_ENV === 'production',
sameSite: 'strict'
// 不設置maxAge/expires即為會話Cookie
})
})
// Vue路由守衛
router.beforeEach((to, from, next) => {
if (to.meta.requiresAuth) {
// 檢查Cookie是否存在
if (!document.cookie.includes('auth_token')) {
next('/login')
} else {
next()
}
} else {
next()
}
})
// src/utils/sessionMonitor.js
let lastActiveTime = Date.now()
export function startSessionMonitor() {
window.addEventListener('mousemove', updateActiveTime)
window.addEventListener('keypress', updateActiveTime)
setInterval(() => {
if (Date.now() - lastActiveTime > 30 * 60 * 1000) {
// 30分鐘無操作觸發登出
logout()
}
}, 5000)
}
function updateActiveTime() {
lastActiveTime = Date.now()
}
function logout() {
// 清除本地存儲
localStorage.removeItem('user')
sessionStorage.removeItem('tempData')
// 跳轉登錄頁
window.location.href = '/login'
}
document.addEventListener('visibilitychange', () => {
if (document.visibilityState === 'hidden') {
// 頁面隱藏時記錄時間
lastHiddenTime = Date.now()
} else {
// 頁面重新顯示時檢查時間差
if (Date.now() - lastHiddenTime > 5 * 60 * 1000) {
logout()
}
}
})
// src/utils/auth.js
import router from '@/router'
const SESSION_TIMEOUT = 30 * 60 * 1000 // 30分鐘
export default {
install(Vue) {
let lastActivity = Date.now()
const activityTracker = () => {
lastActivity = Date.now()
}
const startMonitoring = () => {
// 添加事件監聽
['click', 'mousemove', 'keypress'].forEach(event => {
window.addEventListener(event, activityTracker)
})
// 定時檢查
setInterval(() => {
if (Date.now() - lastActivity > SESSION_TIMEOUT) {
this.logout()
}
}, 10000)
// 頁面可見性檢測
document.addEventListener('visibilitychange', () => {
if (document.visibilityState === 'visible') {
if (Date.now() - lastActivity > SESSION_TIMEOUT) {
this.logout()
}
}
})
}
Vue.prototype.$auth = {
login(token) {
// 使用會話Cookie
document.cookie = `auth_token=${token}; path=/; secure; samesite=strict`
startMonitoring()
},
logout() {
// 清除所有存儲
document.cookie = 'auth_token=; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT'
localStorage.clear()
sessionStorage.clear()
router.push('/login')
},
checkAuth() {
return document.cookie.includes('auth_token')
}
}
}
}
import AuthPlugin from '@/utils/auth'
Vue.use(AuthPlugin)
// 使用StorageEvent監聽存儲變化
window.addEventListener('storage', (event) => {
if (event.key === 'session_logout') {
Vue.prototype.$auth.logout()
}
})
// 登出時觸發
localStorage.setItem('session_logout', Date.now())
移動端需要額外考慮: - 應用切換到后臺 - 屏幕鎖定狀態 - 使用Page Visibility API結合App狀態插件
// 登錄時生成CSRF Token
const csrfToken = generateToken()
document.cookie = `csrf_token=${csrfToken}; path=/; secure`
// 在每個請求頭中添加
axios.interceptors.request.use(config => {
config.headers['X-CSRF-TOKEN'] = getCookie('csrf_token')
return config
})
// 重要操作前驗證
function verifyPassword(password) {
return axios.post('/verify-pw', { password })
}
// 使用前
await verifyPassword(currentPassword)
// 繼續敏感操作
// Cypress測試示例
describe('會話測試', () => {
it('關閉瀏覽器后應登出', () => {
cy.login()
cy.clearCookies() // 模擬瀏覽器關閉
cy.visit('/dashboard')
cy.url().should('contain', '/login')
})
})
實現瀏覽器關閉退出登錄的核心要點: 1. 優先使用會話Cookie作為基礎方案 2. 結合前端活躍檢測作為補充 3. 多標簽頁場景需要事件同步 4. 移動端需要特殊處理 5. 始終考慮安全防護措施
