我对长会话超时的安全风险有所了解。另一方面,我可以在一个月后返回到伟大的网站,我发现我仍然登录。会话超时安全问题
stacoverflow.com本身就是这种情况,但gog.com或g2a.com工作在一样的方法。那么关于这个的金科玉律是什么?
我将建立一个电子商务网站和长会话超时将是非常方便的客户。我想这不是一个简单的答案,因为在电子商务网站上,人们可以花钱。尽管短时间(例如1小时)会非常不方便。我认为最短的可接受超时时间(从客户方面来说)是一周。
有些网站使用较短的会话超时,但自动(!)把“记住我”或令牌的cookie,导致是相同的。有什么区别吗?
亚马逊,例如,可以让你保持登录状态永远和浏览网站,但需要你,如果你执行像敲定购买或查看帐户细节方面有一些动作灵敏数小时后重新认证。 – Blender