Le sessioni scadono in modo diverso su diversi luoghi sul Web:
- StackOverflow: non scade mai
- Twitter: non scade mai
- Facebook: non scade mai
- Striscia: scade dopo 30 minuti o un'ora circa
- Alcuni siti web bancari: scadono dopo 15 minuti di inattività
- Gli altri siti Web scadono dopo 5 minuti, a prescindere da cosa
Le ultime pratiche dicono di mantenere le richieste senza sessioni e di utilizzare una JWT che si aggiorna automaticamente ogni 15 minuti o su una nuova richiesta, usando un token di aggiornamento. Il motivo è che puoi inserire rapidamente una lista nera di un token se finisce nelle mani sbagliate e non sarà utilizzabile per più di 15 minuti, mantenendo la durata dell'attacco minima.
Il problema è che non vuoi disconnettere un utente ogni 15 minuti, è una brutta UX. StackOverflow e Twitter sono fantastici perché sei sempre connesso.
La parte confusa è il motivo per cui StackOverflow / Twitter non lo fa. Sembra un rischio per la sicurezza se segui il percorso di scadenza della sessione di 15 minuti, o forse sta facendo qualcosa per mitigare il rischio.