我正在为我们的Web服务器开发会话管理。以下是我要遵循的步骤。
用户第一次来我们的服务器,我们根据用户名:密码对他进行身份验证 提供并生成/设置安全cookie。
对于后续请求,Web客户端会将相同的cookie发回给我们,我们将验证 它。
如果cookie有效,我们会提供响应。如果cookie无效,那么我们检查 如果存在授权凭证并尝试验证用户并再次进行身份验证 生成/设置安全cookie
如果cookie无效且没有授权凭证,则发送401.
使用cookie我们也设置了到期时间。这主要用于不活动超时。
我想知道我是否应该为后续请求重新生成cookie。 什么是生成或不生成的好设计。
如果我们不生成那么我们如何保持用户登录?
答案 0 :(得分:0)
您需要提供滑动过期时间。例如,您将空闲超时定义为5分钟,然后当用户在最近两分钟内执行请求时,您将部署具有延长到期时间的相同cookie。
ASP.NET使用这种技术。