问题背景: 我们正在构建一个需要用户登录的在线Web应用程序.我们将添加"让我在此计算机上登录x周"的功能.
题:
您应该允许用户保持登录状态的正常标准是什么?*2周?*4周?*永远?
为什么?是否有理由不允许我们的用户永远保持登录状态?
我不知道是否有标准,真的.这一切都取决于您的应用和安全问题.您还不希望任何人在您仍然登录时能够坐在您的计算机上并获取您的信用卡号码.
但是,例如,Stackoverflow对登录没有最高的安全性问题,它不应该.这是一个很大的便利,我没有必要在每次访问时签到这里.
另一方面,我的工作涉及开发和支持大型在线保险申请.在我们收集大量个人信息时,保持安全是一件非常重要的事情.当然,我们不收集信用卡或社会安全号码,我们当然不希望登录在应用程序中间超时.所以我们采取了与会话相关的12小时超时的妥协.这意味着关闭浏览器会自动注销,或者如果您让浏览器在网站上停留12小时,您也会以这种方式注销.
然后在频谱的最远端,你有你的网上银行网站,通常会在大约20分钟后签你.这是完全合理的,因为我无法想到一个更糟糕的情况,因为有人偷了我所有的钱,因为网上银行让我登录的时间太长了.
| 归档时间: |
|
| 查看次数: |
1933 次 |
| 最近记录: |