本文整理登入機制在「安全」與「體驗」之間的取捨與常見落坑：

• 密碼策略：長度、複雜度與使用者行為
• Session / Cookie / Token 的選用時機
• 驗證碼與防暴力攻擊的節奏控制
• 錯誤訊息：避免洩漏線索但仍可用
• 登入狀態維持與登出一致性