我的规格是30天。我即将争论相当长的TTL,比如90-120天。你觉得怎么样?
这适用于标准网站,而非Intranet应用。
答案 0 :(得分:10)
我个人的建议是将其作为相对较短的过期cookie与滑动过期和长期过期身份cookie的组合。
第一部分是您的标准周/月到期身份验证票证cookie,您可以在每个请求或特定时间间隔续订,或者您想要使用的任何其他滑动到期计划。
第二部分是你记住半年/年到期cookie中用户的身份。这不是身份验证票证,只是身份提醒,因此如果用户在会话过期后返回,他们会受到欢迎,您可能会选择显示一些非敏感的个人信息,例如收件箱中的电子邮件或类似的东西,但要实际访问任何敏感信息,他们需要自己进行身份验证。
这将为您的常规用户(每天或每周访问)提供持续永不过期的会话,同时仍然保持身份验证票证的时间相对较短。同时,对于一个多月后返回的人,您仍然可以为他们提供个性化体验,但他们的帐户是安全的。如果您要求他们在缺席一个月后访问其帐户的某些部分进行身份验证,即使他们检查过记住我/记住我的密码复选框,我认为任何人都不会遇到任何问题。
答案 1 :(得分:3)
取决于是最自然的答案。此外,我们还应该询问用户是个人笔记本电脑,共享工作站还是公共机器。
如果是社交网络或邮件门户网站或类似于2周的内容。在个人工作站的情况下> 4周。如果它是一个银行系统,则没有什么比记住我和持久的身份验证。实际上会话应该在最后15分钟内没有活动而终止。
所以取决于。
答案 2 :(得分:0)
它取决于使用该系统的人。如果一家公司的员工经常使用他指定的计算机并且其中一个内部网站点设置了“记住我”cookie,那么它可能会延长一年或更长时间。