我想知道什么时候使用登录超时,特别是使用同一会话(同一浏览器会话)时。在我最近完成的一些网站上,我添加了60分钟的超时时间,并且它们似乎导致了问题,例如用户无法填写更大的表单(例如简历提交 - 人们不认为复制他们的简历从另一个程序或保存部分路径)。在一个站点上,我实现了一个div /弹出窗口,强制用户输入密码以继续当前会话,而无需再次登录。登录超时:您在哪些情况下使用它们?
但是在其他网站上,例如Facebook,只要您使用相同的浏览器窗口,即使没有“记住”您的密码,您似乎也不会注销。
我通常使用超时的主要原因是为了确保数据是安全的,这样另一方不能在几个小时后坐在计算机上并将系统用作原始用户。
我想知道您是如何决定何时由于不活动而导致用户超时的用户?
我在想,答案是语言不可知的。
即使60分钟似乎很长时间才能填写一个表单(也许表单应该分成多个页面?),您可以使用SlidingExpiration来解决您的用户登出的问题,即使浏览器会话还活着。
我认为auth cookie的超时时间是安全级别决定。如果你的站点是SSL安全的,你可能会有最小的超时值(用户会话将在几分钟内到期)。另一方面,对于具有非关键安全性的网站,您可以设置中等超时值。
例如,当我登录网上银行时,它询问我是否正在使用“公共终端”,如果我说是,那么它会执行更严格的安全措施,或者如果没有,那么就使用laxer。
IMO,他们是有效时:
无论如何,可能会出现像您的简历系统这样的情况,您希望公共终端上的人员能够执行可能会使他们处于非活动状态的行为超过您所希望的或必要的超时时间。
我想你必须以一种聪明的方式处理这个问题 - 要么找出一种方式来更快地获取数据(这将是一个高手,花一个小时填写表单并不好玩 - 他们可以上传吗?一个文件?),或者确保它们在被提示重新登录后可以在没有任何数据丢失的情况下继续。