Cookies 什么';“那是你的”;“记住我”;饼干';什么是生命?
我的规格是30天。我将要争论更长的TTL,大约90-120天。你觉得怎么样Cookies 什么';“那是你的”;“记住我”;饼干';什么是生命?,cookies,language-agnostic,Cookies,Language Agnostic,我的规格是30天。我将要争论更长的TTL,大约90-120天。你觉得怎么样 这是一个标准的网站,而不是内联网应用程序 这取决于谁在使用该系统。如果是一家公司的员工定期使用其指定的计算机,并且其中一个内部网站设置了“记住我”cookie,则时间可能会更长一年或更长。视情况而定是最自然的答案。此外,我们还应该询问用户它是个人笔记本电脑、共享工作站还是公共机器 如果是社交网络或邮件门户或类似的东西,则不超过2周。如果个人工作站>4周。如果它是一个银行系统,那么就没有什么比“记住我”和“持久授权”更好的
这是一个标准的网站,而不是内联网应用程序 这取决于谁在使用该系统。如果是一家公司的员工定期使用其指定的计算机,并且其中一个内部网站设置了“记住我”cookie,则时间可能会更长一年或更长。视情况而定是最自然的答案。此外,我们还应该询问用户它是个人笔记本电脑、共享工作站还是公共机器 如果是社交网络或邮件门户或类似的东西,则不超过2周。如果个人工作站>4周。如果它是一个银行系统,那么就没有什么比“记住我”和“持久授权”更好的了。事实上,在过去15分钟内,如果没有任何活动,会话应该终止
所以这取决于我个人的建议是将相对较短的过期cookie与滑动过期cookie和长过期标识cookie结合使用 第一部分是标准的一周/一个月的过期身份验证票据cookie,您可以在每次请求时或在特定时间间隔或任何其他您想要采用的滑动过期方案时续订该cookie 第二部分是在半年/年到期cookie中记住用户的身份。这不是身份验证单,只是身份提醒,因此,如果用户在会话过期后返回,他们会受到欢迎,您可能会选择显示一些非敏感的个人信息,如收件箱中的电子邮件数量或诸如此类的信息,但实际访问任何敏感信息,他们需要证明自己的身份
这将为您的常规用户(每天或每周访问)提供连续的永不过期的会话,同时仍保持相对较短的时间范围内的身份验证票证。同时,对于一个多月后返回的用户,您仍然可以为他们提供个性化体验,但他们的帐户是安全的。我不认为任何人真的会有问题,如果你让他们在离开一个月后进行身份验证以访问其帐户的某些部分,即使他们选中了“记住我/记住我的密码”复选框。我不能将cookies保留超过两三天……我原则上同意,但是这么短的ttl不是违背了我的逻辑吗?有什么理由让它过期吗?@Gabe:嗯,我想不出一个理由让这么小的饼干过期,除了不让我们的安全专家开枪打我的脚。@James:现在是早上8点(gr),我还没有喝咖啡:)没有,这是一个标准的网站:)一些澄清:这是一个标准的网站,没有存储财务数据(不是网上商店/银行),只是普通的联系信息。我的上一个银行应用程序在10分钟内终止了会话,我比你多疑了一点。:)