Authentication 取消选中“记住我”功能_Authentication_Session

Authentication 取消选中“记住我”功能

authentication session

Authentication 取消选中“记住我”功能,authentication,session,Authentication,Session,我有一个网站与jwt和刷新令牌。jwt的生命周期非常短，大约为5分钟，当检查RememberMe时，刷新令牌的生命周期设置为大约6个月我想知道当“记住我”选项未选中时，最佳解决方案是什么。刷新令牌是否应该具有更短的生存期？几小时？或者在离开网站时，我应该用jwt/刷新令牌数据清除本地存储？是否有其他更好的解决方案？您的刷新令牌应配置为用户会话的最大预期生存期。当他们不想被记住时，这意味着：应用程序/服务器创建的任何cookie都应该是会话cookie 当用户显式注销时，用户的会话应完全关闭

我有一个网站与jwt和刷新令牌。jwt的生命周期非常短，大约为5分钟，当检查RememberMe时，刷新令牌的生命周期设置为大约6个月

我想知道当“记住我”选项未选中时，最佳解决方案是什么。刷新令牌是否应该具有更短的生存期？几小时？或者在离开网站时，我应该用jwt/刷新令牌数据清除本地存储？是否有其他更好的解决方案？

您的刷新令牌应配置为用户会话的最大预期生存期。当他们不想被记住时，这意味着：

应用程序/服务器创建的任何cookie都应该是会话cookie
当用户显式注销时，用户的会话应完全关闭清除
您的刷新令牌的使用时间应与标准用户相同会话，例如，对于业务应用程序，标准工作日的长度（12小时）

但据我所知，如果我使用会话cookie，如果他们打开一个新选项卡，他们需要再次登录*编辑：看起来不像正常行为。这不正确-会话cookie在整个浏览器会话（包括多个选项卡）中保持不变。它们仅在浏览器本身关闭或所有选项卡关闭时才会被删除，具体取决于浏览器的行为。