对于网络应用程序上基于 cookie 的“记住我”功能,用户可以选择保持登录状态 X 天:
你认为哪个更好:
a)仅在首次登录时设置“记住我”的过期时间,这样cookie会在首次登录后X天后过期?
或
b)每次用户登录时重新设置过期时间,这样cookie就会在上次登录后X天过期?
您认为用户会期望什么?
最佳答案
好问题。最好的选择可能是询问实际用户。毕竟,他们必须接受你的决定:-)。
但就我个人而言,我会投票给 b)。通常,过期点是当您不再使用计算机并因此不再需要登录时,登录将过期。因此,只有当用户不再主动使用登录时启动过期计时器才有意义。
关于security - 如何处理 "remember me"选项到期?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3716665/