客户端时间存储的取舍

这次单纯记录一下在开发过程中遇到的bug。

前一段时间客服说有用户反映微信公众号出现循环锁屏（小赢的微信公众号中，涉及隐私的页面无操作10min会出现锁屏页面），输入正确的锁屏密码或者修改锁屏密码都无法绕过去。

原先以为是因为微信中的后退（ history.back() ）失效，这个诡异的问题以前在红米的测试上遇到过，调用history.back()后页面没有回退，而是直接跳转到了来源页（即访问历史向前，而不是向后）。这个诡异的问题在后面莫名其妙地消失了，至今无解。。

猜测是cache的问题，于是紧急推了一个修复版本上去。但是第二天客户还是反映循环锁屏。但是从log中看出了问题：
在刚更新完锁屏的时间后用户接着访问的时间戳就已经比服务器的时间晚了近一个小时。。。

后来研究了一下代码，发现有用js更新锁屏时间的代码（原先的锁屏是用本地localStorage存储的，后来发现在某些安卓机器上微信杀进程或者退出微信会清localStorage，因此把锁屏的存储移至服务端，但是那时候没有把旧的代码移除，算是留下了后遗症。。。= =）。

经过Givon的提醒后，原因就很明显了。。由于客户端的时间用户可以随意调整，因此客户端的时间戳无法保证和服务端同步，这次出现这种情况有可能是用户把手机的时间调快了一个小时。

现在想想这是一个挺危险的漏洞，只要用户调整机器时间，可以轻易地绕过锁屏。。。= =

Summary

时间的之类的存储用统一存储容器（即要不全都本地，要不全都服务端），如果是涉及安全之类的，还是放服务端比较好。