yan*_*nis 5 language-agnostic cookies
我的规格说30天.我即将争论相当长的TTL,比如90-120天.你怎么看?
这适用于标准网站,而不是Intranet应用程序.
Fra*_*nov 10
我个人的建议是将它作为相对较短的过期cookie与滑动过期和长期过期身份cookie的组合来实现.
第一部分是您的标准周/月到期身份验证票证cookie,您可以在每个请求或特定时间间隔更新,或者您想要使用的任何其他滑动到期计划.
第二部分是你记住半年/年到期cookie中用户的身份.这不是身份验证票证,只是身份提醒,因此如果用户在会话过期后返回,他们会受到欢迎,您可能会选择显示一些非敏感的个人信息,例如收件箱中的电子邮件数量或类似内容,但要实际访问任何敏感信息,他们需要自己进行身份验证.
这将为您的常规用户(每天或每周访问)提供持续的永不过期的会话,同时仍然保持身份验证票证的时间相对较短.同时,对于一个多月后返回的人,您仍然可以为他们提供个性化体验,但他们的帐户是安全的.如果您要求他们在缺席一个月后访问其帐户的某些部分进行身份验证,即使他们已经检查过记住我/记住我的密码复选框,我认为任何人都不会遇到问题.
| 归档时间: |
|
| 查看次数: |
2976 次 |
| 最近记录: |