Моя спецификация говорит 30 дней. Я собираюсь спорить о довольно продолжительном TTL, что-то вроде 90 - 120 дней. Как вы думаете?Какова ваша жизнь «помнить меня»?
Это стандартный сайт, а не приложение для интрасети.
Моим личным советом было бы сделать это как комбинацию относительно короткого печенья с истечением срока годности и с длинным выпеканием.
Первая часть - это ваш стандартный недельный файл cookie для проверки подлинности на неделю/месяц, который вы обновляете по каждому запросу или через определенный промежуток времени, или любую другую схему раздвижного выключения, которую вы хотите использовать.
Во второй части вы помните личность пользователя в течение полугода/год-выдержки cookie. Это не аутентификационный билет, а только напоминание о личности, так что, если пользователь вернет после, срок их сеанса истек, они получат приветствие, и вы можете выбрать некоторую нечувствительную личную информацию, такую как количество писем в папке «Входящие» или что-то еще например, чтобы фактически получить доступ к любой конфиденциальной информации, они должны пройти аутентификацию.
Это позволит вашим постоянным пользователям (посещать каждый день или неделю) непрерывный непрерывный сеанс, сохраняя при этом билеты на аутентификацию с относительно короткими временными рамками. В то же время для людей, которые возвращаются после более чем месяца, вы все равно можете дать им индивидуальный опыт, но их учетная запись защищена. Я не думаю, что у кого-то на самом деле была бы проблема, если вы попросите их пройти аутентификацию, чтобы получить доступ к определенным частям своего аккаунта после месяца отсутствия, даже если они проверили флажки помнить меня/запомнить мой пароль.
Прохладный! Спасибо за ваше время. – yannis
Его зависит от того, кто использует систему. Если его сотрудник компании, использующей назначенный компьютер регулярно, и один из сайтов интрасети настроит «помнить меня», это может быть больше года или более.
Нет, это для стандартного веб-сайта :) – yannis
Это зависит от является наиболее естественным ответом. Кроме того, мы также должны спросить пользователя, является ли это персональным ноутбуком или общей рабочей станцией или общедоступной машиной.
Если это социальная сеть или почтовый портал или что-то похожее на 2 недели. в случае личной рабочей станции> 4 недели. Если это банковская система, тогда нет ничего лучше, как «Запомни меня» и постоянный аут. Фактически сеанс должен быть прекращен без какой-либо активности за последние 15 минут.
So Это зависит от размера..
Некоторые разъяснения: Это стандартный веб-сайт, никакие финансовые данные не хранятся (а не eshop/bank), просто общая контактная информация. Последнее мое приложение для банковского обслуживания прекратило сеанс за 10 минут, я немного параноик, чем вы. :) – yannis
Я не могу хранить куки в течение более двух-трех дней ... –
Я согласен в принципе, но разве такой короткий ttl не противоречит моей логике? – yannis
Есть ли причина для его истечения? – Gabe