長いセッションタイムアウトのセキュリティリスクについては赤字です。一方、私は一ヶ月後に偉大なウェブサイトに戻ることができ、私はまだログインしていることがわかります。セッションタイムアウトセキュリティの懸念
stacoverflow.com自体のケースですが、gog.comやg2a.comは同じ方法。では、これについての黄金のルールは何ですか?
私は電子商取引サイトを作成し、長いセッションタイムアウトは顧客にとって本当に便利です。私はそれが簡単な答えではないと思う、電子商取引サイトで人々がお金を費やすことができるため。それにもかかわらず、短いタイムアウト(例えば1時間)は非常に不便である。私は、顧客の側面からの最短受け入れタイムアウトが1週間だと思います。
一部のサイトでは短いセッションタイムアウトを使用しますが、自動的に(覚えておいてください)、結果を同じにするトークンクッキーを保存します。違いはありますか?
たとえばAmazonでは永久にログインしてサイトを閲覧できますが、購入の確定やアカウントの詳細の表示などの慎重な操作を行うと、数時間後に再認証する必要があります。 – Blender