我正在维护一个在ASP.NET MVC5应用程序中使用cookie身份验证的网站。当应用程序上线时,cookie超时设置为很长的时间,例如99999分钟。
为了提高安全性,我决定将超时时间最多设置为60分钟。即使到期日逐渐减少,我也应该强迫用户在一天左右的时间后重新登录。现在我面临两个问题:
如何强制已经使用永久有效cookie(99999分钟)登录的用户重新进行身份验证?
我可以设置60分钟的滑动到期时间,并结合1天的绝对到期时间吗? (因此不允许他们无限刷新网页,以使其永不过期)
以下是原始超时设置:
wildcard, prefix or match_phrase