我正在开发一个基于Web的自动化应用程序(ASP.NET,VS2010,C#),用户登录,执行他们的任务然后注销,今天我正在演示我的项目,我用一个用户名进行了登录/密码,然后我必须描述一些功能,所以网站自己留下超过20分钟(会话的默认超时,当用户登录时,我为他创建一个会话,然后检查他的会话是否存在大约30分钟后,我试图在网站上打开一个新页面,按照预期点击链接,我的网站注销和default.aspx页面显示(这是所需的过程) 。我的客户问起原因,我告诉他们:什么都没有!会议暂停,我认为他们理解我
这种情况有什么不对吗?我应该增加会话超时吗?有时我的用户可能需要在网站停留超过几个小时,增加会话超时是否存在安全风险?我怎样才能更好地完成整个操作?
感谢
答案 0 :(得分:1)
至少有两个充分的理由让会议超时:
- 活动会话可能会占用您服务器上的资源
- 如果某人成功窃取了会话cookie,他可以使用该会话直到关闭。