我想知道何时使用登录超时,特别是在使用相同会话(相同浏览器会话)时。在我最近完成的一些网站上,我添加了 60 分钟的超时时间,它们似乎会导致问题,例如用户无法填写较大的表格(如简历提交——人们不会考虑复制他们的简历从另一个程序或部分保存)。在一个站点上,我实现了一个 div/popup 强制用户输入密码以继续当前会话,而无需再次登录。
但在 Facebook 等其他网站上,只要您使用相同的浏览器窗口,即使没有“记住”您的密码,您似乎也永远不会注销。
我通常使用超时的主要原因是为了确保数据安全,这样几小时后另一方就无法坐在计算机前并以原始用户身份使用系统。
我想知道您如何决定网站何时因不活动而使用户超时?
我认为答案将与语言无关。
IMO,它们在以下情况下有效:
无论如何,可能存在像您的简历系统这样的情况,您希望公共终端上的人们能够执行一项可能使他们处于非活动状态的时间超过您期望或必要的超时时间。
我想你只需要以一种聪明的方式处理它——要么想办法让他们更快地获取数据(这将是王牌,花一个小时填写表格并不好玩——他们可以上传文件吗?) ,或确保他们在被提示重新登录后可以继续操作而不会丢失任何数据。
尽管 60 分钟填写一个表单似乎很长(也许表单应该分成多个页面?),您可能可以使用 SlidingExpiration 来解决即使浏览器会话处于活动状态,您的用户也会退出的问题.
我认为 auth cookie 的超时是安全级别的决定。如果您的站点是 SSL 安全的,您可能会有最小的超时值(用户会话将在几分钟内到期)。另一方面,对于具有非关键安全性的站点,您可以设置中等超时值。
例如,当我登录网上银行时,它会询问我是否在使用“公共终端”:如果我说是,那么它会执行更严格的安全性,或者如果不是,则更宽松。