session - 您应该让用户在 Web 应用程序上保持登录状态多长时间？

Question

问题背景:
我们正在构建一个需要用户登录的在线 Web 应用程序。我们将添加“让我在这台计算机上保持登录状态 x 周”的功能。

问题:

您应该允许用户保持登录状态多长时间的正常标准是什么？
* 2周？
* 4 周？
* 永远？

为什么？是否有理由不允许我们的用户永远保持登录状态？

Answer 1

不知道有没有标准，真的。这完全取决于您的应用程序和安全问题。您不希望任何人都能在您仍处于登录状态时坐在您的计算机前获取您的信用卡号。

但是，例如，Stackoverflow 对登录没有最高的安全问题，它不应该。我不必每次访问都在这里登录，这是一个很大的便利。

另一方面，我的工作涉及开发和支持大型在线保险应用程序。当我们收集大量个人信息时，我保证它的安全更为重要。当然，我们不收集信用卡或社会安全号码，我们当然不希望登录在申请过程中超时。因此，我们妥协了与 session 相关的 12 小时超时。这意味着关闭浏览器会自动退出，或者如果您让浏览器在网站上停留 12 小时，您也会以这种方式退出。

然后在范围的远端，您有您的在线银行网站，通常会在大约 20 分钟后将您注销。这是完全有道理的，因为我想不出比某人窃取我所有钱更糟糕的情况，因为网上银行让我登录时间太长。