1
我正在构建一个中央身份验证服务(auth.xyz.com),类似于Google在accounts.google.com上的身份验证服务。我有多个应用程序,每个应用程序运行在不同的子域(app1.xyz.com,app2.xyz.com)上,这将与我的身份验证服务集成。跨子域的基于Cookie的身份验证
我目前正在关注基于cookie的系统,写在“.xyz.com”域中,以便它可以被所有子域读取。
我的问题是,我不知道如何处理cookie过期。如果用户在时间t登录,并在app1.xyz.com上花费45分钟,然后转到app2.xyz.com,我不希望他再次登录。另外,如果用户登录到app1.xyz.com,然后闲置45分钟,然后点击app2.xyz.com,我希望他必须重新登录。我怎样才能做到这一点?
我不想在app1或app2上获得的每个请求上触摸auth服务器。