我正在构建一个中央身份验证服务 (auth.xyz.com),类似于 Google 在 accounts.google.com 上的服务。我有多个应用程序,每个应用程序都在不同的子域(app1.xyz.com,app2.xyz.com)上运行,这些子域将与我的身份验证服务集成。
我目前正在关注一个基于 cookie 的系统,写在“.xyz.com”域上,以便所有子域都可以读取它。
我的问题是我不知道如何处理 cookie 到期。如果用户在时间 t 登录,并在 app1.xyz.com 上花费 45 分钟,然后转到 app2.xyz.com,我不希望他必须再次登录。此外,如果用户在 app1.xyz.com 上登录,然后空闲 45 分钟,然后点击 app2.xyz.com,我希望他必须重新登录。我怎样才能做到这一点?
我不想在我在 app1 或 app2 上收到的每个请求上都触摸身份验证服务器。