流行的web应用程序（如Facebook、Google）如何在不危及安全的情况下让会话保持如此长的时间？

我正在编写我自己的身份验证代码，我已经阅读了很多关于可能的攻击的资料。一个攻击向量是攻击者劫持会话并使用该信息作为认证用户执行恶意行为。我已经读到，解决这一问题的办法是经常终止会话，或者至少定期更新会话

---

这让我想，我不记得上次登录Facebook是什么时候了。我通过许多设备保持登录，其中一些设备我不是每天都使用（例如，工作笔记本电脑）。我想知道，他们如何在不冒会话劫持风险的情况下拥有如此长寿命的会话

HTTPS。许多会话劫持攻击都是通过嗅探“飞行中”的cookie来实现的。使用HTTPS大大提高了成功完成此任务所需的工作量。

它们不一定会使会话本身（在web会话的一般意义上，通过会话id将服务器端数据与客户端关联）保持长时间的活动状态；但它们将令牌存储在cookie中，可用于在用户下次访问站点时对其进行身份验证，以便启动新会话。请尝试@CBroe Authenticity令牌与会话信息，这更多是一个实现细节。在cookie中存储长寿命的真实性令牌这一事实仍然会带来一些安全风险，但我想，让访问cookie变得困难是默认的安全机制。它们可能包括浏览器/设备指纹之类的东西，以使从其他地方获取被盗cookie变得更加困难。