Session 您应该让用户在web应用程序上登录多长时间？

问题背景： 我们正在构建一个需要用户登录的在线web应用程序。我们将添加“让我在此计算机上登录x周”的功能

问题：

您应该允许用户登录多长时间的正常标准是什么？ *两周？ *4周？ *永远

为什么？是否有理由不允许用户永久登录？

“是否有理由不允许用户永久登录？”

如果您这样做，那么无论您是否更改密码，访问您帐户的非授权用户都可以永远保持签名状态

---

我不知道标准，但我认为两周是正常的时间间隔。

我真的不知道是否有标准。这完全取决于您的应用程序和安全问题。你不希望任何人都能在你登录的时候坐在你的电脑前，抓取你的信用卡号码

但是，举例来说，Stackoverflow在登录方面没有最高的安全问题，它也不应该有。这是一个很大的方便，我不必在这里登录每次访问

另一方面，我的工作涉及开发和支持大型在线保险应用程序。更重要的是，我要确保它的安全，因为我们收集了很多个人信息。当然，我们不收集信用卡或社会安全号码，当然也不希望登录在应用程序中间超时。因此，我们采取了一个折衷方案，将12小时的超时时间与一个会话绑定在一起。这意味着关闭浏览器会产生自动注销的效果，或者如果你让浏览器在网站上停留12小时，你也会以这种方式注销

然后在最远的一端，你有你的网上银行网站，通常会在大约20分钟后注销。这很有道理，因为我想不出比有人偷走我所有的钱更糟糕的情况了，因为网上银行让我登录的时间太长了。

视情况而定

我的网上银行不会让我在离开网站后继续登录。但我的电子邮件将自动让我登录两周，StackOverflow（到目前为止）还没有要求我在使用它一个月后重新登录

---

因此，这取决于您正在构建的应用程序的类型。

答案将取决于您的应用程序在方便性和安全性之间的可接受平衡

高安全性应用程序（如网上银行）可能永远不允许用户保持登录状态

对于电子邮件等安全性较低的应用程序，允许用户永远保持登录状态可能是可以接受的。但是，您应该始终将其作为用户的一个选项，并且该选项应说明仅当用户使用专用计算机时才应使用它（您永远不希望在共享或公用计算机上执行此操作）